Skip to content

minority opinions

Menu
  • Contact
  • Home
  • Tags
Menu

[모의해킹/취약점분석] axis2 환경 설정 취약점

Posted on October 22, 2021July 7, 2023 by Daniel J.

axis2 default password 로그인 취약점 

1. 점검 개요


1) 취약점 진단 대상 : 고객들이 사용중인 BB XX 서비스 취약점 분석 및 모의해킹

2. 취약점 점검 결과 요약


1) A05: Security Misconfiguration (보안 설정 오류)
2) 접근 통제 관리자 페이지 접근 통제 취약
3) 특정 어플리케이션에서(Apache Axis2) 제공하는 관리자 계정(ID/Password)을 변경하지 않고 사용
4) 관리자 페이지 외부에 ANY 노출
5) 50여대 서버 동일 취약점으로 운영중

3. 점검 상세 내용


1) 관리자 페이지 접근 통제 미흡
   BB XX 서비스에서 사용중인 Axis2 웹 어플리케이션 환경 설정 미흡으로 인한 취약점 발견

  취약 URL : http://xx.xx.xx.xx:0000/xxxx/axis2-admin/

  취약 URL Search 과정 / 쉽게 확인 가능
  에이전트 다운로드 -> 설치후 -> 환경설정 -> wsdl주소 확인 가능

관리자 페이지 (http://x.x.x.x:0000/xxxx/axis2-admin/)

Axis2 관리자 Default Password 사용중
Axis2 Default Password는 인터넷에서 쉽게 획득 가능하며, 알려진 CVE 다수 존재

관리자 페이지 로그인 화면 (admin / axis2)

로그인 성공 화면

관리자 권한으로 Axis 컨트롤 (모듈 활성화, 서비스 삭제등)

악성 코드 업로드 및 서버 권한 탈취
악성코드 JAR 파일 업로드후 리버스 세션 성립으로 서버 탈취 성공

운영중인 Linux Server OS /etc/passwd 탈취 성공
DB, 웹어플리케이션 정보, 민감 정보 탈취 및 root 권한으로 서버내 모든 컨트롤 가능

4. 점검 결과



1) 관리자 페이지 URL(/xxxx/axis2-admin/login) 외부 ANY 노출 상태
2) 관리자 페이지 Default 패스워드 (admin / axis2)로 어디서는 누구나 로그인 가능
3) 해당 취약점을 활용한 다양한 형태의 해킹 공격 가능
4) 운영 서버 악성 코드 업로드 가능
5) 악성코드 실행 리버스 세션 성립으로 서버 모든 권한 장악 및 민감 데이터 탈취 가능
6) 악의적 행위로 서비스 장애 유발 가능 (서비스 삭제등)


5. 권고 및 개선 조치 사항


1) 관리자 페이지 접근 통제 강화
– /xxxx/axis2-admin/login 페이지 접근 불필요시 삭제 권고
– 부득이한 사유로 필요시 특정 IP에서만 접속할수 있도록 변경

2) 관리자 계정 로그인 필요시 Default Password (axis2) 변경 필수

3) 서비스중인 BB XX 서비스 서버 전수 조사 후 상기 두가지 항목 설정 필수 적용 권고

Related

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Category

  • Article (49)
  • Uncategorized (214)
  • 게임 소식 (9)
  • 기술 정보 & 테크 소식 (188)
  • 꿀팁정리 & 자기계발 (250)
  • 블로그 (8)
  • 사건 사고 (3)
  • 역사 (11)
  • 이슈 뉴스 정리 (127)
  • 정치 인물 사회 (22)
  • 주식 경제 (102)

Popular Posts

  • 장사의신 애월 파스타집 고양이 기름때 위생 논란
  • 서울 서이초등학교 학부모 갑질 교사 자살 사건
  • 한문철 전직 보디빌더 인천 주차장 폭행사건 가해자는 누구?
  • 코딩하는 공익 반병현 셀프 바이럴 논란
  • 황의조 휴대폰 해킹, 성관계 사진 인스타 유포

©2023 minority opinions | Design: Newspaperly WordPress Theme