어도비의 전자상거래 플랫폼 마젠토 2...5년 전에 나온 인기 높은 오픈소스 솔루션
여러 해커들의 반복적인 공격 대상이 되고 있어...사용자들의 이른 패치 권고돼

[보안뉴스 문가용 기자] 어도비의 전자상거래 플랫폼인 마젠토(Magento)에서 치명적인 취약점들이 발견됐다. 마젠토는 여러 사이버 공격자들의 공격 표적이 되는 플랫폼이기 때문에 시급한 패치가 필요하다. 이번에 발견된 취약점들을 익스플로잇 할 경우 임의 코드 실행이 가능하다고 한다.


마젠토는 어도비가 소유한 오픈소스 전자상거래 플랫폼으로 전 세계적으로 큰 인기를 누리고 있으며, 실제 수많은 온라인 쇼핑몰들의 기반이 되고 있다. 그렇기 때문에 마젠토에서 발견된 취약점은 해커들과 보안 전문가 모두에게 큰 관심거리가 된다.

이번에 발견된 취약점들은 다음 버전들에 영향을 주는 것으로 분석됐다.
1) 마젠토 커머스 2(Magento Commerce 2) 2.3.5-p1 및 이전 버전
2) 마젠토 오픈소스 2(Magento Open Source 2) 2.3.5-p1 및 이전 버전
치명적인 취약점 2개와 중요 취약점 2개가 이 버전들에서 발견됐다.

어도비는 패치들을 배포하며 “취약점의 성공적인 익스플로잇은 임의 코드 실행 공격과 시그니처 확인 우회 공격으로 이어질 수 있다”고 경고했다.

치명적인 위험도를 가진 취약점은 다음과 같다.
1) CVE-2020-9689 : 경로 조작 취약점. 공격자가 웹 애플리케이션을 조작해 웹 루트 폴더 밖에 있는 파일과 디렉토리를 읽게 함으로써 임의 코드 실행을 할 수 있게 된다.
2) CVE-2020-9692 : 보안 장치를 우회할 수 있게 해주는 취약점으로, 역시 임의 코드 실행 공격으로 이어질 수 있다. 익스플로잇을 위해서는 관리자 권한이 필요하다.

중요 등급으로 분류된 취약점은 다음과 같다.
1) CVE-2020-9690 : 관찰 가능한 시간 불일치(observable timing discrepancy) 취약점으로 시그니처 확인 우회 공격을 가능하게 해준다. 관찰 가능한 시간 불일치 취약점은 별도의 작업들이 완료되는 데 서로 다른 시간을 필요로 하는 상황에서 보안과 관련된 정보가 공격자에게 노출되는 것을 말한다.
2) DOM 기반 XSS 취약점 : 임의 코드 실행을 가능하게 한다. 크리덴셜 없이 익스플로잇이 가능하다.

사용자들은 마젠토 커머스 2 2.4.0 혹은 2.3.5-p2 버전, 마젠토 오픈소스 2 2.4.0 혹은 2.3.5-p2 버전으로 업그레이드가 권장된다. 현재까지 실제 익스플로잇 된 사례는 없지만, 조만간 공격이 실제 발생할 가능성은 매우 높다고 어도비는 보고 있다. 그래서 “30일 안에 패치하는 게 권장된다”고 발표했다.

지난 4월에도 어도비는 임의 코드 실행과 정보 노출 공격을 가능하게 하는 치명적 취약점들을 패치한 바 있다. 당시 패치된 취약점은 CVE-2020-9576, CVE-2020-9578, CVE-2020-9582, CVE-2020-9583, CVE-2020-9579, CVE-2020-9580이었다. 1월에도 마젠토는 2.3.4 버전으로 업그레이드 되었다.

마젠토 1은 지난 6월 지원이 종료됐다. 하지만 어도비가 조사한 바 10만 개 이상의 온라인 쇼핑몰들이 여전히 마젠토 1을 기반으로 운영되고 있었다. 어도비는 해당 업체들에 마젠토 2로 전환하라고 촉구했다. 마젠토 2는 5년 전에 발표된 플랫폼이다.

3줄 요약
1. 어도비, 마젠토 2 플랫폼에서 치명적 취약점 2개, 중요 취약점 2개 발견해 패치.
2. 이 취약점들을 익스플로잇 할 경우 임의 코드 실행과 보안 장치 우회가 가능.
3. 마젠토는 온라인 상거래 플랫폼이라 해커들의 관심이 매우 높음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>