울지않는벌새 : Security, Movie & Society

국내 공개 웹 게시판 제로보드 4 버전 보안 업데이트 권고 (2010.2.21)

벌새::Security
국내에서 제작된 공개 웹 게시판 제로보드(ZeroBoard) 4 버전의 보안 취약점이 발견되어 해당 문제를 해결하기 위한 보안 업데이트 권고가 나왔습니다.

제로보드 4 버전은 2009년 9월부터 현재의 제로보드 XE로 완전히 교체가 되면서 더 이상의 취약점에 관한 공식 패치 지원이 이루어지지 않지만, 알려진 취약점에 대해서는 여전히 정보를 공유하고 있습니다.

1. 개요


(1) 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 4에 대한 CSRF 관련 보안 취약점이 발견됨
 - 제로보드(ZeroBoard) : PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
 - CSRF(Cross-Site Request Forgery) 취약점 : 정상적인 서비스 사용자의 권한을 몰래 이용하여 스크립트를 실행할 수 있는 취약점으로 관리자 권한으로 악의적인 목적의 스크립트가 실행될 수 있는 취약점

(2) 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및 조속한 패치가 필요함

2. 영향


(1) 원격의 사용자가 제로보드 4 관리자 권한을 획득할 수 있음

(2) 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령 실행 등이 가능하며, 이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음
 - PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어

3. 영향을 받는 시스템


제로보드 4 모든 버전

4. 설명


원격의 사용자가 시스템 내의 임의의 파일을 읽거나, 임의의 php 코드를 실행하는 것이 가능하여 이를 통한 웹 변조 등의 해킹이 발생

5. 해결 방안


(1) 제로보드 4를 처음 사용하는 경우
 - 공식 사이트(zeroboard.com)에서 제공하는 취약점이 보완된 admin_exec_member.php 설치 파일을 다운로드 받아 설치

(2) 제로보드 4를 사용중인 경우
 - admin_exec_member.php 파일의 106번째 줄에 다음 아래와 같이 추가

if($_SERVER['REQUEST_METHOD']!='POST') die("비정상적인 접근이라 차단됩니다");

6. 이용자 주의사항


(1) 2009년 9월 25일부터 제로보드 4는 구조적인 한계로 인한 보안 취약점 문제로 공식적인 배포를 중지함

(2) 제로보드 4의 공식적인 배포는 중지되었으나 신규 취약점의 피해를 막고 정보를 공유하기 위해 공식 커뮤니티는 계속 운영될 예정

(3) 따라서 이용자들은 제로보드 4의 공식 커뮤니티 사이트의 보안 정보 공유 게시판을 주기적으로 확인하여 신규 취약점에 대한 정보를 숙지하고 이에 따른 조치를 취해야함

(4) 혹은 지속적인 보안 패치 제공 서비스가 가능한 홈페이지 게시판으로 업그레이드를 권고

7. 기타 문의사항


(1) 제로보드 4는 더 이상 사용할 수 없는 건가요?
 - 아닙니다. 사용하실 수 있습니다. 그러나 제작사에서 더 이상 공식적인 보안 패치를 제공하지 않기 때문에 신규 취약점으로 인한 피해를 입으실 수 있으므로 이용자 주의사항을 숙지하시길 바랍니다.

(2) 제로보드 4의 공식 커뮤니티는 계속 운영되나요?
 - 네 운영됩니다. 제로보드 4 공식 커뮤니티 사이트는 제로보드 4의 취약점 정보 및 기타 정보 공유를 목적으로 계속 운영이 됩니다.

(3) 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118