업데이트되지 않은 Newspaper와 Newsmag 테마의 보안 취약점을 노리는 멀웨어

업데이트되지 않은 Newspaper와 Newsmag 테마의 보안 취약점을 노리는 멀웨어 2

이 블로그의 보안 관련 글에서 항상 강조하는 내용이지만 워드프레스 자체는 보안에 매우 강합니다. 특히 워드프레스는 연중 두 차례 정도 메이저 업데이트가 이루어지고, 메이저 업데이트 후에 보안 취약점이 나타나면 보안 업데이트를 배포하여 보안에 만전을 기하고 있습니다.

하지만 워드프레스나 테마, 혹은 플러그인을 제때에 업데이트하지 않고 방치하는 경우에 보안 취약점에 노출될 수 있고, 멀웨어 등에 감염되거나 해커에게 사이트가 해킹될 수도 있습니다.

어제 보안업체인 Sucuri의 블로그에 "Javascript Injection Creates Rogue WordPress Admin User"라는 글에서 업데이트되지 않은 NewspaperNewsmag 테마에서 보안 취약점을 활용하여 스팸 광고를 삽입하고 심지어 워드프레스 사이트를 통째로 탈취하는 멀웨어가 출현했다고 하네요.

감염된 사이트는 3cal1ingc0nstant31112123[.]tk 또는 1sthelper31212123[.]tk(URL은 자주 바뀜)와 같은 스팸 도메인으로 리디렉션된다고 합니다. 그리고 "simple001"이라는 새로운 불량 관리자 사용자가 생성된다고 하네요.

악성 자바스크립트는 테마 옵션(ad configuration, custom javascript, 기타 필드 포함)에 위치합니다. 다음과 같은 라인을 찾아보시면 됩니다.

eval(String.fromCharCode(118, 97, 114, 32, 115, 115, 99,redacted...)

자세한 기술적인 내용은 Sucuri 블로그 글을 방문해보시기 바랍니다.

취해야 할 조치

멀웨어는 JavaScript 코드를 삽입하는 멀웨어는 사이트 방문자들에게만 영향을 미치는 것이 아니라 (몰래 불량 워드프레스 사용자를 생성하여) 사이트를 완전히 탈취하는 데에도 이용됩니다.

이 멀웨어는 소프트웨어 취약점과 관련되기 때문에 강력한 비밀번호나 보안 플러그인을 이용하더라도 막을 수 없다고 합니다.

오래된 TagDiv 테마(예: Newsaper, Newsmag)를 사용하고 있고 감염이 의심된다면 Sucuri의 무료 사이트 스캐너 사이트(https://sitecheck.sucuri.net/)에서 검사해볼 수 있습니다.

테마를 업데이트를 하여 취약점을 패치하고 블로그에 의심스러운 사용자가 있는지 살펴보시기 바랍니다. 그리고 설정을 테스트해보고 비밀번호를 바꾸고, 서버를 스캔하여 백도어가 심어져 있지 않은지 검사해보는 것이 좋습니다. (특히 인기 매거진 테마인 Newspaper는 많은 사이트에서 이용되고 있습니다. 이 테마를 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.)

경험상 이런 멀웨어에 감염될 경우, DB에도 악성 코드가 심어져 있기 때문에 악성 코드를 찾아서 제거하는 데 시간이 제법 소요될 수 있고 비용도 많이 들 수 있습니다.

멀웨어에 감염되기 전에 모든 워드프레스, 테마, 플러그인을 최신 상태로 유지하고, 백업을 생활화하며, 보안 플러그인을 설치하여 보안을 강화하는 것이 최선의 방법 같습니다.

참고로 멀웨어에 감염된 경우 Sucuri 사이트에 접속하여 오른쪽 맨 아래의 라이브 채팅을 통해 멀웨어를 해결할 수 있는지 문의해보실 수도 있을 것 같습니다.

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

4개 댓글

  1. 앗 최근에 기존에 사용하던 무료 테마의 보안이 의심스러워 newspaper로 돌아왔는데요.
    돌아오자마자 이런 뉴스를 들으니 섬뜩한데요.
    테스트 해 보았더니 아무 이상이 없다고 나오는데요.
    아무튼 좋은 정보 고맙습니다.

    1. 저도 무료 테마를 이용하여 만든 조그만한 블로그가 하나 있지만 1년 넘게 테마 업데이트가 이루어지지 않고 있네요.

      무료 테마 중에서 심플한 테마를 선택했습니다. 너무 심플해서 업데이트할 내용이 없는 것인지, 아니면 테마 개발자가 테마를 버린 것인지 알 수가 없네요.

      시간이 될 때 유료 테마로 바꾸는 것이 장기적으로 봤을 때 안전하게 사이트를 운영할 수 있을 것도 같다는 생각이 드네요.

댓글 남기기

* 이메일 주소는 공개되지 않습니다.