수많은 워드프레스(Wordpress) 웹사이트에 영향을 미칠 수 있는 보안 취약점이 워드프레스 플러그인 닌자 폼(Ninja Form)에서 발견됐다.
• 워드프레스(Wordpress): 오픈소스 기반의 설치형 블로그 혹은 CMS(콘텐츠 관리 시스템)이다. 워드프레스로 제작된 웹사이트의 시장 점유율이 전세계 웹사이트의 42%가 넘는 것으로 알려진다.
• 닌자 폼(Ninja Forms): 워드프레스 플러그인 중 하나로, 대부분의 게시판 형태를 구성할 수 있도록 도와준다. 현대 웹 서비스의 대표적인 유형을 템플릿 형태로 구현했다. 이는 사용자가 몇 분 안에 복잡한 양식을 쉽게 만들 수 있도록 돕는다.
Wordfence Threat Intelligence팀 연구원들은 수많은 이들이 사용하는 WordPress 플러그인 닌자 폼에서 백포팅된 보안 업데이트를 발견했다고 밝혔다.
업데이트를 분석한 결과, 인증되지 않은 해커가 별도의 POP 체인이 있는 웹사이트에서 임의의 코드를 실행하거나 임의의 파일을 삭제하기 위해 악용될 수 있는 코드를 삽입한 것으로 나타났다.
연구원들에 따르면, 이 취약점은 현재 웹상에서 활발히 악용되고 있으며 CVSS 점수는 9.8로 평가됐다.
• CVSS: 컴퓨터 시스템 보안의 심각도 및 위험을 평가하는 데 사용된다. CVSS는 기본, 임시, 환경 등의 지표로 구성돼 있다.
연구원들에 따르면, 닌자 폼의 보안 취약점은 플러그인의 태그 병합 기능에 있는 것으로 알려졌다.
연구원 측은 “닌자 폼에는 Post ID 및 로그인한 사용자 이름과 같은 워드프레스의 다른 영역에서 값을 자동으로 채우는 양식에 ‘태그 병합’ 추가 기능이 있다. 불행히도 이 기능에는 취약한 워드프레스 사이트를 대상으로 하는 광범위한 익스플로잇에 사용할 수 있는 다양한 닌자 폼 클래스를 호출할 수 있는 결함이 있었다”라고 설명했다.
이어 ”이러한 병합 태그 기능은 NF_MergeTags_Other 클래스가 병합 태그 처리 방식을 통해 인증되지 않은 사용자를 유입시켰고, 이것이 곧 익스플로잇 공격으로 이어질 수 있다고 판단했다”라고 덧붙였다.
한편, 닌자 폼은 취약점을 해결하기 위해 닌자 폼 버전 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, 3.6.11의 패치를 실행한 것으로 알려졌다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
