요약 : 보안 외신 블리핑컴퓨터에 의하면 중국의 해킹 단체가 씽크PHP(ThinkPHP) 애플리케이션들의 오래된 취약점을 공략하고 있다고 한다. 문제의 취약점은 CVE-2018-20062와 CVE-2019-9082로, 공격자들은 이 둘을 통해 다마(Dama)라고 하는 웹셸을 주입하고 있다. 이 캠페인은 최소 2023년 10월부터 시작된 것으로 조사되었으며, 최근 더욱 활발해졌다. 씽크PHP는 중국에서 인기가 많은데, 이 때문에 같은 중국인을 노린 공격 캠페인일 가능성이 높아 보인다. 다마는 공격자들이 피해자 시스템의 파일 시스템을 자유롭게 탐색할 수 있게 해 주는 기능을 가지고 있다.


배경 : 씽크PHP는 오픈소스 웹 애플리케이션 개발 프레임워크로, 중국에서 유달리 인기가 높다. CVE-2018-20062는 임의 PHP 코드 실행 취약점으로, 2018년 12월에 패치되었다. CVE-2019-9082는 원격 명령 실행 취약점으로 2019년 2월에 패치됐다. 공격자들은 이 취약점을 통해 public.txt라는 파일이 다운로드 되도록 하는데, 여기에 다마 웹셸이 숨어 있다.

말말말 : “취약점 관리 실패가 취약점 그 자체보다 더 위험하다는 사실이 다시 한 번 드러났습니다. 이렇게 오래된 취약점들이 대형 캠페인에 버젓이 사용되고 있다는 사실 그 자체가 이를 반증합니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>