CVE-2023-4634 Detection: Unauthenticated RCE Vulnerability in WordPress Media Library Assistant Plugin

보안 연구원들은 CVE-2023-4634로 지정된 심각한 취약점에 대해 경고를 발표했으며, 이 취약점은 전 세계적으로 70,000개 이상의 워드프레스 사이트에 영향을 미치고 있습니다. 이 취약점은 워드프레스 커뮤니티 내에서 매우 인기가 높고 널리 사용되는 플러그인인 워드프레스 미디어 라이브러리 어시스턴트 플러그인의 보안 결함에서 비롯됩니다. 이 취약점은 이미 야생에서 악용되고 있으며, 개념 증명 익스플로잇의 이용 가능성이 높아짐에 따라 워드프레스 생태계 전반에 걸쳐 공격이 강화되고 확산될 위험성이 더욱 우려됩니다. 

CVE-2023-4634 악용 시도 탐지

취약점 악용의 선제적 탐지 는 인기 있는 소프트웨어에 영향을 미치는 CVE의 수가 계속 증가함에 따라 보안 사용 사례 중 가장 중요한 부분으로 남아 있으며, 이러한 제품을 활용하는 조직들에게 심각한 도전을 제기하고 방어자의 주의를 필요로 합니다. GitHub에서 공개적으로 이용 가능한 PoC 익스플로잇과 함께 추적된 새로운 워드프레스 보안 버그인 CVE-2023-4634가 주목받고 있습니다. SOC Prime은 방어자에게 가장 빠른 보안 뉴스 피드를 제공하고 최신 탐지 콘텐츠로 진행 중인 조직을 지원하며 공격의 흔적을 즉시 식별할 수 있도록 합니다. 

보안 팀이 CVE-2023-4634 악용 시도를 선제적으로 탐지할 수 있도록 SOC Prime Platform은 워드프레스 사용자에게 영향을 미치는 위협이 증가함에 따라 새로운 시그마 규칙을 최근에 발표했습니다. 아래 링크를 클릭하여 저희 집중적인 위협 바운티 개발자가 작성한 전용 시그마 규칙에 접속하세요. 무스타파 구르칸 카라카야:

워드프레스 미디어 라이브러리 어시스턴트에서 (웹서버를 통해) 발생하는 잠재적인 인증되지 않은 원격 코드 실행 [CVE-2023-4634] 취약점 악용 시도

이 시그마 규칙은 악의적인 페이로드를 전송함으로써 워드프레스 미디어 라이브러리 어시스턴트에서 발생할 수 있는 인증되지 않은 원격 코드 실행(RCE) 악용을 감지합니다. 이 탐지 코드는 SIEM, EDR, XDR, 데이터 레이크 기술 등 18개의 기술에 즉시 변환될 수 있으며, 이는 MITRE ATT&CK® 초기 접근 전술과 공개적 응용 프로그램 공격 기법(T1190)을 다루는 프레임워크와 연계되어 있습니다. 

미래의 탐지 엔지니어들은 크라우드소싱된 위협 바운티 프로그램에 참여하여 시그마 및 ATT&CK 기술을 연마하고, 업계 전문 지식을 집단적으로 강화하며, 입력에 대한 금전적 보상을 얻으며 엔지니어 경력을 발전시킬 수 있습니다. 

CVE 탐지를 위한 전체 시그마 규칙 모음을 탐색하고 관련 위협 인텔리전스를 탐구하려면 아래 탐지 탐색 버튼을 클릭하세요.

탐지 탐색

CVE-2023-463 분석

수백만 개의 웹사이트가 전 세계적으로 워드프레스에 의존하는 콘텐츠 관리 시스템(CMS)으로서의 널리 퍼진 인기를 감안할 때, 미디어 라이브러리 어시스턴트 플러그인의 취약점과 같은 문제는 전 세계 조직에 심각한 위험을 초래합니다. 공격자들은 손상된 워드프레스 웹사이트를 조직 네트워크에 침투하는 진입점으로 사용하여 다른 악의적인 활동을 진행하거나 감염된 사이트를 악성 소프트웨어 배포 및 피싱 공격의 발판으로 사용할 수 있습니다.

주목받고 있는 취약점은 이미지 처리 중 발생하는 파일 경로의 불충분한 제어에서 비롯되는 인증되지 않은 원격 코드 실행(RCE) 문제입니다. 이는 공격자가 FTP를 통해 파일을 제공하여 로컬 파일 포함 및 원격 코드 실행을 가능하게 합니다. 이러한 조건 하에서는 공격자가 패치되지 않은 워드프레스 사이트를 손에 넣을 수 있습니다. 

이 취약점은 미디어 라이브러리 어시스턴트 플러그인의 3.10 이전 버전에 영향을 미치며, 익스플로잇하기 위해서는 Imagick 라이브러리가 설치된 서버가 필요합니다. 성공적인 공격을 위해서는 Imagick이 기본 구성을 사용해야 합니다. 웹 사이트 관리자들은 워드프레스 대시보드에서 가능한 한 빨리 보안 패치를 설치할 것을 촉구합니다. 

이 문제는 Patrowl의 보안 전문가에 의해 발견되었으며, 이미 보안 결함을 설명하는 보고서 를 발표하여 위험 수준을 이해하는 데 도움을 주고 있습니다.  PoC 위험 수준을 이해하는 데 도움을 주고 있습니다. 

활성화된 CVE의 공격 시도가 증가함에 따라, 악용 시도의 선제적 탐지는 사이버 강건성을 강화하려는 조직에게 매우 중요합니다. SOC Prime은 보안 팀에게 Uncoder AI라는 단일 IDE를 제공하여 탐지 엔지니어링을 가능하게 하고, 보다 적은 노력으로 모든 결함 없는 탐지 코드를 작성하고 이를 64개 쿼리 언어로 자동으로 변환합니다. — 이러한 제품은 완전한 프라이버시 보장을 제공하는 올인원 솔루션을 사용합니다.