6~7년 된 오래된 취약점 익스플로잇 하고 있는 중국 해커들
보안 외신 블리핑컴퓨터에 의하면 중국의 해킹 단체가 씽크PHP(ThinkPHP) 애플리케이션들의 오래된 취약점을 공략하고 있다고 한다. 문제의 취약점은 CVE-2018-20062와 CVE-2019-9082로, 공격자들은 이 둘을 통해 다마(Dama)라고 하는 웹셸을 주입하고 있다. 이 캠페인은 최소 2023년 10월부터 시작된 것으로 조사되었으며, 최근 더욱 활발해졌다. 씽크PHP는 중국에서 인기가 많은데, 이 때문에 같은 중국인을 노린 공격 캠페인일 가능성이 높아 보인다. 다마는 공격자들이 피해자 시스템의 파일 시스템을 자유롭게 탐색할 수 있게 해 주는 기능을 가지고 있다.
❗️출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=130439
느낀 점: 이번 보안 뉴스를 통해서 6년이나 지난 취약점도 많은 웹사이트에서 패치하지 않아 매우 신기했고, 씽크PHP와 다마라는 이름의 웹셀을 처음 들어보았다. 씽크 PHP는 중국 기업 탑씽크에서 개발한 아파치2 기반 PHP 프레임워크이며, 대부분 중국에서 사용중이고 아시아권에서 다수 사용중이라고 한다. CVE-2018-20062의 원격 코드 실행 취약점에 대해 분석한 글을 살펴보니 5.0.23 하위버전과 5.1.31 하위버전이 취약하며 \ 문자가 파라미터에 삽입되어 wget 명령 등으로 임의 주소에서 파일을 다운로드 받게끔 유도할 수 있으니 혹시 씽크PHP를 주위에서 사용하고 있다면 주위에 알려주자.
댓글남기기