플래시 파일에 포함된 액션스크립트 실행 취약점...XSS 공격 가능 

현재 최신 버전 보안 패치 배포 중!...최신 버전으로 업데이트해야

[보안뉴스 김태형] PHP기반 공개 웹 어플리케이션인 그누보드에서 FLASH XSS(Cross Site Scripting) 취약점이 발견되어 사용자들의 주의가 필요하다.

FLASH SWF파일의 경우 애니메이션을 보여주거나 역동적인 메뉴바 등을 구현할 때 주로 사용된다. 하지만 액션스크립트를 사용해 자바스크립트처럼 프로그래밍적인 기능을 추가하는 것이 가능하다.

이러한 특성으로 인해 악의적인 스크립트가 삽입된 플래시 파일을 특정 태그를 사용해 영상링크로 걸었을 때 플래시 파일에 포함된 액션스크립트가 실행되며 XSS 공격이 진행되는 취약점이 있다.

이번 취약점을 발견한 국제정보보안센터(i2Sec:부산,대구) 14기 수강생 최호성씨는 “이 취약점은 FLASH파일을 등록할 때 AllowScriptAccess 값을 정확하게 필터링하지 않아 발생하는 문제”라면서 “AllowScriptAccess의 값 ‘always’을 제거하고 ‘never’로 적용해 플래시에서 스크립트가 실행되는 것을 막을 수 있다”고 설명했다.

이번 취약점에 대한 자세한 내용을 살펴보면 아래와 같다.

    ▲ [그림 1]

[그림 1] 플래시 파일 내에 악의적인 목적을 가진 페이지를 연동하는 액션스크립트를 삽입한다.

     ▲ [그림 2]

[그림2] 해당 플래시 파일을 특정 태그를 사용하여 게시판에 영상링크로 연결한다. 

    
     ▲ [그림 3]

[그림3]  해당 게시물을 클릭하게 되면 사용자의 정보가 담긴 쿠키값은 공격자에게로 고스란히 넘어가게 된다.

국제정보보안센터 측은 “액션스크립트를 통한 XSS 역시 피싱, 웜 또는 바이러스의 배포, CSRF, 세션 재사용 공격 등 피해를 야기할 수 있으므로 신속한 패치가 필요하다”면서 “액션스크립트를 통해서도 공격이 진행될 수 있는 만큼 정확한 필터링이 필요하다”고 덧붙였다.

이와 같은 취약점을 전달받은 그누보드 측에서는 해당 취약점에 대해 패치를 진행했고 현재 최신 버전 4.6.23을 배포중이다. 한편, 해당 취약점과 관련한 패치는 홈페이지(http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=8691)에서 확인 가능하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>