현재 워드프레스로 웹사이트를 운영하고 있고 '올인원 SEO 팩(All in One SEO Pack)' 플러그인을 사용하고 있다면, 가능한 한 빨리 업데이트하는 것이 좋다. 관리자 권한을 탈취할 수 있는 보안 취약점이 발견됐기 때문이다. 플러그인 개발업체는 지난 8일 보안 취약점을 해결한 새 버전을 공개했다.
올인원 SEO 팩은 다양한 검색 엔진 최적화 기능을 지원해 검색 결과에서 웹사이트가 더 많이 노출되도록 한다. 워드프레스의 통계를 보면, 이 앱을 실제 사용하는 웹사이트는 100만 개 이상이다.
이 보안 취약점은 플러그인의 봇 차단 기능에서 발견됐다. 이를 악용하면 조작된 헤더가 포함된 HTTP 요청을 보내 원격으로 관리자 권한을 탈취할 수 있다. 봇 차단은 사용자 에이전트와 리퍼러 헤더 값을 기준으로 스팸 봇을 감지해 막는 기능이다.
보안 연구자 데이비드 바짓스에 따르면, 이 플러그인의 ‘차단된 봇 추적(Track Blocked Bots)’ 설정을 활성화하면 (기본값은 활성화하지 않는 것이다) 차단된 모든 요청을 기록한 후 이를 사이트의 관리자 패널 내의 HTML 페이지에 출력한다.
그러나 출력하기 전에 이 요청을 적절하게 변환하는 데 실패하면 공격자가 요청 헤더를 변조해 악의적인 자바 스크립트가 HTML 페이지의 일부가 되도록 할 수 있다. 이를 통해 사용자가 로그 페이지를 볼 때마다 악성 코드가 실행되는, 영구적인 XSS(cross-site scripting ) 공격에 노출된다.
특히 이 페이지는 관리자 패널에 포함돼 있으므로, 공격자가 마치 관리자가 된 것처럼 세션 토큰을 빼갈 수 있다. 토큰은 웹사이트가 로그인된 사용자로 인식하도록 브라우저 내부에 저장된 값이다. 따라서 브라우저 내에서 이 값을 대체함으로써 공격자는 별도 승인 없이 웹사이트에 관리자 권한으로 접속할 수 있게 된다. 이 악성 코드는 관리자 브라우저가 승인되지 않은 동작을 하도록 할 수도 있다고 바짓스는 덧붙였다.
‘올인원 SEO 팩’ 개발업체 ‘셈퍼 파이 웹 디자인(Semper Fi Web Design)’은 지난 8일 이 보안 취약점을 해결한 2.3.7 버전을 발표했다. 업체는 이 플러그인을 가능한 빨리 업그레이드하거나 ‘차단된 봇 추적’ 설정을 비활성화할 것을 권고했다. dl-ciokorea@foundryco.com
