axis2 default password 로그인 취약점
1. 점검 개요
1) 취약점 진단 대상 : 고객들이 사용중인 BB XX 서비스 취약점 분석 및 모의해킹
2. 취약점 점검 결과 요약
1) A05: Security Misconfiguration (보안 설정 오류)
2) 접근 통제 관리자 페이지 접근 통제 취약
3) 특정 어플리케이션에서(Apache Axis2) 제공하는 관리자 계정(ID/Password)을 변경하지 않고 사용
4) 관리자 페이지 외부에 ANY 노출
5) 50여대 서버 동일 취약점으로 운영중
3. 점검 상세 내용
1) 관리자 페이지 접근 통제 미흡
BB XX 서비스에서 사용중인 Axis2 웹 어플리케이션 환경 설정 미흡으로 인한 취약점 발견
취약 URL : http://xx.xx.xx.xx:0000/xxxx/axis2-admin/
취약 URL Search 과정 / 쉽게 확인 가능
에이전트 다운로드 -> 설치후 -> 환경설정 -> wsdl주소 확인 가능
관리자 페이지 (http://x.x.x.x:0000/xxxx/axis2-admin/)
Axis2 관리자 Default Password 사용중
Axis2 Default Password는 인터넷에서 쉽게 획득 가능하며, 알려진 CVE 다수 존재
관리자 페이지 로그인 화면 (admin / axis2)
로그인 성공 화면
관리자 권한으로 Axis 컨트롤 (모듈 활성화, 서비스 삭제등)
악성 코드 업로드 및 서버 권한 탈취
악성코드 JAR 파일 업로드후 리버스 세션 성립으로 서버 탈취 성공
운영중인 Linux Server OS /etc/passwd 탈취 성공
DB, 웹어플리케이션 정보, 민감 정보 탈취 및 root 권한으로 서버내 모든 컨트롤 가능
4. 점검 결과
1) 관리자 페이지 URL(/xxxx/axis2-admin/login) 외부 ANY 노출 상태
2) 관리자 페이지 Default 패스워드 (admin / axis2)로 어디서는 누구나 로그인 가능
3) 해당 취약점을 활용한 다양한 형태의 해킹 공격 가능
4) 운영 서버 악성 코드 업로드 가능
5) 악성코드 실행 리버스 세션 성립으로 서버 모든 권한 장악 및 민감 데이터 탈취 가능
6) 악의적 행위로 서비스 장애 유발 가능 (서비스 삭제등)
5. 권고 및 개선 조치 사항
1) 관리자 페이지 접근 통제 강화
– /xxxx/axis2-admin/login 페이지 접근 불필요시 삭제 권고
– 부득이한 사유로 필요시 특정 IP에서만 접속할수 있도록 변경
2) 관리자 계정 로그인 필요시 Default Password (axis2) 변경 필수
3) 서비스중인 BB XX 서비스 서버 전수 조사 후 상기 두가지 항목 설정 필수 적용 권고