이번 포스팅에서는 특정 웹 서비스 솔루션의 관리자 페이지 취약점에 대하여 알아보도록 하겠습니다. 해당 서비스는 Xx 백업 솔루션으로 환경설정이나 기타 세부 설정등을 웹으로 접속하여 컨트롤 하는 방식입니다. 다시 요약하자면, 관리자 권한으로 웹접속이 가능한 백업 솔루션입니다.
만약 웹 소스나 방화벽 등 IP제한을 하지 않은 상태라면 언제어디서나 관리자 (admin)으로 접속할수 있는 상황입니다. 단, 패스워드를 알아야겠죠.
이번 취약점의 가장 큰 원인은 관리자 admin 패스워드가 인터넷에 노출되어 있다는 점입니다. 구글링을 통하여 관리자 패스워드를 알수 있으며, 다른 한가지 방법은 해당 로그인 페이지 우측 상단에 메뉴얼 다운로드를 해보면 내용중에 관리자 암호를 아주 쉽게 알려줍니다.
관리자 페이지 취약점 진단 개요
대상은 고객사에서 사용중인 X사의 XX 백업 서비스 취약점 분석 및 모의해킹 수행 대상 서버는 실제 운영중인 약 400여대 서버.
취약점 점검 결과 요약
- A05: Security Misconfiguration (보안 설정 오류).
- 접근 통제 관리자 페이지 접근 통제 취약.
- 벤더사 솔루션에서 기본 제공하는 관리자 계정(ID/Password)을 Default 상태로 사용중.
- 250대 서버에서 동일한 취약점 발견.
취약점 점검 상세 내용
1) XX 백업 서비스 관리자 페이지는 외부 8080포트 ANY 오픈 상태
예) http://x.x.x.x:8080/
2) XX 솔루션 사용 고객사 서버 대부분이 외부에 8080 PORT ANY 오픈 상태. 해외 불특정 다수의 국가로 부터 스캔성 공격 대상이 되고 있으며,
공격시도 흔적 및 실제 접속한 로그를 발견 할수 있었습니다.
3) 관리자 계정의 Default Password 사용중
A. XXX 솔루션 “default password” 구글링 검색 화면 (system / system)
관리자 계정 정보를 구글링 검색을 통하여 쉽게 알수 있습니다.
B. XX 솔루션 관리자 페이지 “관리자 매뉴얼” 다운로드 내용(system / system) 메뉴얼 다운로드 후 관리자 정보를 쉽게 취득 가능.
C. system / system 관리자 계정으로 로그인 성공
D. 운영 서버에 악성코드 설치 가능(AA XX 원격 명령 기능 사용)
E. 악성코드 설치 후 서버 모든 권한 획득 가능(리버스 세션 성립.) metasploit reverse session success
점검 결과 요약
1) AA XX 서비스 관리자 페이지 8080 Port 외부 ANY 오픈 – 외부 any 노출 상태로 공격에 무방비 상태
2) Default Password 노출 (사용중)로 누구나 사이트 접속 가능
– 구글링 검색 가능 -> login ID: system / Password: system
– AA XX 웹페이지 내 “관리자 매뉴얼” -> Default Password 노출
– Default 계정(system / system) 로그인 가능
– 관리자 권한으로 로그인 후 악의적인 행위 가능
예) 신규 계정 생성 -> XX 데이터 restore 가능 -> 민감 정보 탈취 가능
원격명령 실행 -> 악성코드 업로드 -> 서버 모든 권한 탈취 가능 랜섬웨어 코드 업로드 실행 후 -> XX 데이터 삭제
권고사항 및 해결책
1) 고객사에 외부 8080 port any 노출 불필요시 특정 IP만 오픈하고 가급적이면 8080 포트 차단 권고.
2) Default Password 사용 계정 삭제 or 패스워드 변경 권고.
3) Xx 솔루션 사용 고객 리스트(서버) 전수 조사 후 “default password”를 사용중인 고객사에 대하여 “패스워드” 필수 변경 권고 필요.
이와 같이 서비스 솔루션이나 어플리케이션 보안설정 미흡으로 예기치 못한 공격을 당할수도 있습니다. 대표적인 예로 우리나라에서도 많이 쓰이는 오픈소스 WAS tomcat의 경우에도 관리자 웹페이지에 접속할수 있는 경로가 있습니다. 버전별로 default 계정 정보는 약간 틀릴수 있으나 구글링을 통해 검색하면 바로 알수 있습니다.
보안사고는 위와같이 가장 기본적인 설정을 변경하지 않아 발생하는 경우가 생각보다 많습니다. 신규 서비르 론칭이나 신규 솔루션 도입시 이와 같은 가장 기본적인 환경 설정은 반드시 체크하고 보안 사고 리스크를 줄이시길 바랍니다.