국내 PHP 기반인 많은 사용자를 보유하고 있는 익스프레스엔진(XE)에서 LFI 취약점이 발표되었습니다.
해당 취약점은 일반 사용자 권한으로 서버에 명령어를 실행하여 웹쉘을 업로드 할 수 있어 아래주소에서 패치하시길 바랍니다.
http://www.xpressengine.com/blog/textyle/21937678
<그림1. KISA 보안 업데이트 권고>
패치 소스 관련해서 아래 경로에서 확인할 수 있습니다.
https://code.google.com/p/xe-core/source/detail?r=13127
<그림2. 변경된 소스코드 확인>
다음은 LFI 취약점이 발생하는 코드 일부 입니다.
create_function 에서 취약점이 발생합니다.
<그림3. LFI 취약점 발생 코드>
패치된 1.7.3.3 버전에서는 create_function 함수를 사용하지 않습니다.
<그림4. 취약점 패치된 코드>
패치된 소스를 분석하고 발생한 취약점을 이용하여 exploit code를 작성 하였습니다.
<그림5. exploit code 실행 화면>
웹쉘을 공격자 서버에서 업로드합니다.
<그림6. 웹쉘 업로드 확인>
업로드된 경로를 접속하게 되면 웹쉘페이지로 접속할 수 있습니다.
<그림7. 웹쉘 실행 확인>
exploit code와 상세 공격 내역은 문제가 될 요지가 있어 공개하지 않겠습니다.
XE를 사용하는 유저는 해당 취약점을 패치하길 권고합니다.
감사합니다.
ps. thanks to indra, maz3