osCommerce 에서 원격 코드 실행 취약점이 존재합니다.

 

해당 취약점은 초기 설치 이후에 삭제되지 않는 install_4.php 파일에 의해 발생하며,
해당 설치 페이지를 요청하면 이미 설치되어 있는지 확인하지 않으며 추가적인 인증이 존재하지 않습니다.

 

DIR_FS_DOCUMENT_ROOT 과 같이 요청하여야 동작합니다.

 

이와 관련하여 윈스 분석팀에서 해당 취약점을 이용한 다수의 공격을 확인하여 추적하고 있습니다.

 

[어플리케이션 설명]
* osCommerce
오픈 소스로 제공되는 전자 상거래 및 온라인 상점 관리 소프트웨어 프로그램으로, PHP 와 MySQL이 설치되어 있어야 한다.

 

 

취약점 설명

 

NO CVE

 

 

취약점 분석

POST로 전달된 변수 값들 중에 "DIR_FS_DOCUMENT_ROOT" 의 값이 존재하여야 작동하며,
- 해당 값이 존재하지 않으면 쓰기가 진행되지 않습니다.

 

DB_DATABASE 전달된 값이 configure.php 파일에 쓰여지게 됩니다.

 

[그림1. 소스코드 내역]

 

해당 프로그램의 공식 웹사이트에서는 해당 버전을 가장 먼저 다운로드 받을 수 있게 제공하고 있습니다.
또한 아직도 패치가 진행되지 않은 것으로 판단 됩니다.

 

[그림2. 공식홈페이지 내역]

 

POC 내역

 

Exploit DB 및 Github, Metasploit 모듈 등 다수의 공개된 POC가 존재합니다.

 

[그림3. POC 내역]

 

 

공격 분석

 

osCommerce 에 대한 공격은 스캔성으로 진행 되고 있으나,

- User-Agent 의 값이 Baiduspider 로 설정되어 있습니다. 

 

해당 공격이 성공 할 경우 한 줄 웹쉘과 동일하게 작동되므로 주의가 필요합니다.

 

윈스 허니넷에서는 취약점을 이용한 공격을 확인 하였습니다.

 

[그림4. 탐지 내역]

 

오픈소스로 제공되는 osCommerce 의 경우 유지보수가 진행되고 있지 않습니다.

혹여나 해당 프로그램을 사용하는 경우 다른 프로그램으로 변경을 권고 드립니다.

 

취약점 대응 방안

 

1. 대체 프로그램 사용

 

2. WINS Sniper 대응 방안

 

*Sniper IPS

*Sniper UTM

 

*Sniper APTX

 

 

참고

https://www.exploit-db.com/exploits/44374

https://github.com/osCommerce/oscommerce2/issues?page=2&q=is%3Aissue+is%3Aopen