Offcanvas

������������������ ������������������������������������ ������������������

'저위험' PHP 역직렬화 취약점, 재평가해야

거의 10년 동안 PHP 역직렬화(unserialization) 취약점은 사이버 범죄자가 원격 코드 실행을 설치하거나 다른 악성코드를 시스템에 제공하는 데 쓰이는 인기 있는 경로였다. 그러나 이번달 블랙햇에서 발표된 새로운 연구에 따르면 악의적인 해커는 이 공격에 대해 위험이 적었던 환경에서도 이 취약점을 도입할 수 있는 것으로 밝혀졌다. 대부분 범죄(또는 업무) 분야와 마찬가지로 사이버범죄에서도 많은 변화가 일어나지만 사람들은 과거의 행동에 그대로 머물러 있으려는 경향이 있다. 페트야/낫페트야 및 악성코드의 출현으로 블랙햇에서 시연해 보인 해킹이 새롭지는 않았다. 나쁜 행위자는 단순히 기존의 접근 방식이나 공격 벡터를 사용하고 새로운 트위스트를 추가할 뿐이었다. 정보보안 컨설팅 회사인 세카마(Secarma Ltd)의 연구 책임자 샘 토마스는 블랙햇 행사에서 PHP 역직렬화 공격을 시연했다. 토마스는 사이버 범죄자가 이전에는 저위험으로 간주되었던 기능을 사용하여 PHP 프로그래밍 언어에서 중요한 역직렬화 취약점을 쉽게 생성할 수 있는 새로운 개발 방법을 보여줬다. PHP 역직열화 취약점 또는 객체 주입 취약점이 호출되어 해커가 PHP 함수의 ‘역직렬화’에 악의적인 입력을 제공하여 여러 종류의 공격을 수행할 수 있다. 직렬화는 데이터 객체를 일반 문자열로 변환하는 프로세스며 역직렬화 함수는 객체를 문자열에서 다시 생성한다. 이 공격 벡터는 2009년부터 문서로 정리됐으며 이러한 결함이 존재한다는 사실은 새로운 것이 아니다. 실제로 OWASP는 PHP 역직렬화를 상위 10대 목록에 추가했으며 작년 대규모 에퀴닉스 위반은 역직렬화를 통해 시작된 것으로 보고되었다. 1990년대 중반부터 있었던 서버 스크립팅 언어인 PHP(Hypertext Preprocessor)의 인기를 고려할 때, 나쁜 행위자가 이 접근법을 악용하는 새로운 방법을 발견한 것은 놀랄 일이 아니다. 블랙토크(Black Tak) 세션에서 토마스는 ...

CSO 취약점 블랙햇 PHP 페트야 낫페트야 서버 스크립팅 언어 역직렬화

2018.08.23

거의 10년 동안 PHP 역직렬화(unserialization) 취약점은 사이버 범죄자가 원격 코드 실행을 설치하거나 다른 악성코드를 시스템에 제공하는 데 쓰이는 인기 있는 경로였다. 그러나 이번달 블랙햇에서 발표된 새로운 연구에 따르면 악의적인 해커는 이 공격에 대해 위험이 적었던 환경에서도 이 취약점을 도입할 수 있는 것으로 밝혀졌다. 대부분 범죄(또는 업무) 분야와 마찬가지로 사이버범죄에서도 많은 변화가 일어나지만 사람들은 과거의 행동에 그대로 머물러 있으려는 경향이 있다. 페트야/낫페트야 및 악성코드의 출현으로 블랙햇에서 시연해 보인 해킹이 새롭지는 않았다. 나쁜 행위자는 단순히 기존의 접근 방식이나 공격 벡터를 사용하고 새로운 트위스트를 추가할 뿐이었다. 정보보안 컨설팅 회사인 세카마(Secarma Ltd)의 연구 책임자 샘 토마스는 블랙햇 행사에서 PHP 역직렬화 공격을 시연했다. 토마스는 사이버 범죄자가 이전에는 저위험으로 간주되었던 기능을 사용하여 PHP 프로그래밍 언어에서 중요한 역직렬화 취약점을 쉽게 생성할 수 있는 새로운 개발 방법을 보여줬다. PHP 역직열화 취약점 또는 객체 주입 취약점이 호출되어 해커가 PHP 함수의 ‘역직렬화’에 악의적인 입력을 제공하여 여러 종류의 공격을 수행할 수 있다. 직렬화는 데이터 객체를 일반 문자열로 변환하는 프로세스며 역직렬화 함수는 객체를 문자열에서 다시 생성한다. 이 공격 벡터는 2009년부터 문서로 정리됐으며 이러한 결함이 존재한다는 사실은 새로운 것이 아니다. 실제로 OWASP는 PHP 역직렬화를 상위 10대 목록에 추가했으며 작년 대규모 에퀴닉스 위반은 역직렬화를 통해 시작된 것으로 보고되었다. 1990년대 중반부터 있었던 서버 스크립팅 언어인 PHP(Hypertext Preprocessor)의 인기를 고려할 때, 나쁜 행위자가 이 접근법을 악용하는 새로운 방법을 발견한 것은 놀랄 일이 아니다. 블랙토크(Black Tak) 세션에서 토마스는 ...

2018.08.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13