[240103 보안뉴스 요약] 아파치 스트럿츠 2 원격 코드 실행 취약점 발견... 악성파일 업로드 가능

아파치 스트럿츠 2 원격 코드 실행 취약점 발견... 악성파일 업로드 가능

http://www.boannews.com/media/view.asp?idx=125371

김영명 기자(boan@boannews.com)

 

---

 

아파치 스트럿츠 2 (Apache Struts 2) 에서 CVE-2023-50164 가 발견됨

 

CVE-2023-50164

CVSS 3 기준으로 심각도가 9.8임

원격코드 실행 (RCE, Remote Code Execution) 을 허용

공격자가 파일 업로드 매개변수를 조작해 임의의 파일 경로에 원격에서 실행 가능한 악성파일 업로드 가능

 

아파치 스트럿츠 2

자바 엔터프라이즈급 웹 애플리케이션을 구축할 수 있도록 설계된 오픈소스 개발 프레임워크

아파치 스트럿츠 버전 2.0.0~2.5.32 및 버전 6.0.0~6.3.0.1이 위의 취약점의 영향을 받음

 

취약점이 어떻게 악용되는지?

민감한 데이터의 조작, 탈취, 서비스 중단, 손상된 시스템 악용이 발생할 수 있다.

취약점이 악용될 수 있는 대상의 도메인 엔드포인트: '/upload.action'

아파치 스트럿츠 2 서버에 파일을 업로드하면 매개변수를 조작한 후 '../../.' 와 같은 경로 탐색을 통해 웹쉘을 업로드할 수 있다.

 

*아파치 스트럿츠 2 프레임워크로 개발된 사이트는 기본적으로 '*.action' 확장자 형태로 맵매핑돼 실행된다고 함

 

아파치 스트럿츠 2를 사용중인 곳?

에이아이스페라의 위협 인텔리전스 검색엔진(Criminal IP)의 Asset Search를 이용해

‘Showcase’, ‘Struts2 Showcase’, ‘/struts/utils.js’, ‘Struts2 jQuery Plugin Showcase’ 의 검색 필터와 키워드로

아파치 스트럿츠 2 웹 애플리케이션을 사용 중인 사이트를 발견할 수 있다.

 

총 18개 국가가 노출된 아파치 스트럿츠 2 플러그인을 사용 중인 것으로 확인됨

미국 486개 일본 220개 중국 204개 한국 109개 (2023년 12월 21일 기준)

 

마무리

에이아이스페라 관계자: “현재 CVE-2023-50164 취약점이 발견된 이후 사이버 공격에서 빈번하게 악용되고 있어 전 세계 기업들과 사용자들이 중대한 보안 위협을 겪고 있다”며 “아파치 스트럿츠 2 사용자는 Criminal IP와 같은 위협 인텔리전스 검색엔진을 통해 원격 코드 실행 위협에 노출된 웹 애플리케이션을 사전에 탐지하고 즉시 패치해야 한다”고 강조했다.