7백만 개 이상 사이트에 영향을 미치는 엘리멘터 페이지 빌더 보안 업데이트

Wordfence는 엘리멘터로 제작된 사이트에 존재하는 취약점을 발견했다고 발표했습니다. 엘리멘터 페이지 빌더는 개발자에 의하면 700만 개 이상 사이트에 설치되어 사용되고 있다고 합니다. Elementor를 사용하는 경우 최신 버전(3.1.4 이상)으로 업데이트하시기 바랍니다. 엘리멘터 프로를 사용하는 경우 3.2.0 이상 버전으로 업데이트해야 안전합니다.

7백만 개 이상 사이트에 영향을 미치는 엘리멘터 페이지 빌더 보안 업데이트

Stored XSS 취약점

엘리멘터 페이지 빌더에서 발견된 보안 문제는 Stored XSS(저장 크로스 사이트 스크립팅) 취약점의 일종이며 공격자들이 사이트의 통제권을 장악할 가능성이 있습니다.

XSS(Cross Site Scripting)는 공격자(해커)가 악성 스크립트를 업로드하고 브라우저에 표시되는 스크립트가 실행되는 웹 페이지를 실행하는 취약점의 한 유형입니다.

스크립트는 쿠키, 비밀번호 등을 훔치는 등 다양한 작업을 할 수 있습니다.

웹 사이트 자체에 스크립트가 저장되기 때문에 이러한 XSS 익스플로이트(exploit)를 Stored Cross Site Scripting(저장 크로스 사이트 스크립팅) 취약점이라고 한다고 하네요. 다른 유형의 XSS로 Reflected Cross Site Scripting이라는 것이 있는데, 이것은 (이메일 등을 통해) 클릭하는 링크에 의존하는 방식이라고 합니다.

Stored Cross Site Scripting는 웹 페이지를 방문하는 모든 방문자를 공격할 수 있으므로 더 큰 위협이 될 수 있습니다.

Elementor의 Stored XSS 취약점

엘리멘토에 영향을 미치는 Stored XSS 취약점은 관리자 로그인 정보를 탈취하는 데 악용될 수 있습니다. 하지만 공격자는 먼저 글 발행 레벨의 워드프레스 사용자 권한을 가져야 합니다. 가장 낮은 사용자 레벨인 '기여자(외부 필진; Contributor)' 권한을 가져도 공격을 시작할 수 있습니다.

기여자 레벨의 워드프레스 관리자는 사이트에서 자신의 글을 읽고 발행하고 편집 및 삭제할 수 있는 낮은 레벨의 사용자입니다. 하지만 이 사용자 역할은 이미지와 같은 미디어 파일은 업로드할 수 없습니다.

이번에 발견된 취약점을 이용하여 악의적인 공격자는 편집 화면에서 악성 스크립트를 업로드할 수 있습니다. 다음과 같은 6가지 엘리멘터 요소에 허점(loophole)이 존재합니다.

  1. 아코디언 (Accordion)
  2. 아이콘 박스 (Icon Box)
  3. 이미지 박스 (Image Box)
  4. 헤딩 (Heading)
  5. 디바이더 (Divider)
  6. 컬럼 (Column)

엘리멘터 페이지 빌더를 최신 버전으로 업데이트하세요

이 블로그를 통해 항상 강조하는 내용이지만, 보안을 위해 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하는 것이 바람직합니다. 그리고 오랫동안 업데이트가 안 되는 방치된 플러그인은 삭제하는 것이 보안상 유리합니다.

엘리멘터 페이지 빌더를 사용하는 경우 반드시 3.1.4 이상 버전으로 업데이트하시기 바랍니다. 엘리멘터는 인기 플러그인이기 때문에, 취약점이 패치될 경우 업데이트되지 않은 사이트를 대상으로 한 공격이 늘어날 수 있습니다.

무엇보다 사이트 백업을 정기적으로 받아서 PC나 클라우드 등 안전한 곳에 보관하는 것이 중요합니다. 그러면 사이트에 문제가 발생해도 백업본을 사용하여 쉽게 복구가 가능합니다.

마치며

엘리멘터 취약점은 2월달에 발견되었지만, 보안 문제를 개발자에게 보고하여 패치가 나온 후에 일반인에게 공개되었습니다. Wordfence는 3월 17일에 자사 블로그의 "Cross-Site Scripting Vulnerabilities in Elementor Impact Over 7 Million Sites (700만 개가 넘는 사이트에 영향을 미치는 엘리멘터에서 크로스 사이트 스크립팅 취약점 발견)" 글을 통해 자세한 사항을 공개했습니다.

엘리멘터와 같은 페이지 빌더를 사용하면 코딩을 몰라도 쉽게 사이트를 제작할 수 있다는 장점이 있습니다. 하지만 사이트 성능에 부담을 줄 수 있으므로 심플한 블로그를 운영하는 경우 GeneratePress와 같은 가벼운 테마를 사용하여 만드는 것도 괜찮은 것 같습니다.

참고


댓글 남기기

* 이메일 주소는 공개되지 않습니다.