이 글에서는 워드프레스 CVE 취약점 보안 패치가 되지 않은 구 버전의 워드프레스 웹 서버를 찾아내는 방법과, 워드프레스로 제작된 웹페이지의 취약점을 스캔하는 방법에 대해 설명한다.

워드프레스 CVE 취약점 이란?

워드프레스(WordPress)는 전 세계 모든 웹사이트의 40%가 사용 중인 웹사이트 제작 및 관리 시스템이다. 사이버 공격자는 웹 서버를 공격 타깃으로 정할 때, 워드프레스 CVE 취약점 패치가 되지 않은 오래된 버전의 워드프레스 웹 서버를 탐색하기도 한다. 워드프레스로 제작된 웹페이지는 개인 블로그, 기업 블로그, 기업 공식 홈페이지까지 다양한 용도로 사용되기 때문에, 보안 패치가 되지 않은 취약한 워드프레스는 해커들의 주요 표적이 된다.

MITRE Corporation의 CVE 통계 데이터에 따르면,  2004년부터 2022년 9월 현재까지 발견된 워드프레스 CVE 취약점은 총 344개로, 그중 실제 공격자가 익스플로잇 가능한 CVE 취약점은 11개이다.

워드프레스 CVE 취약점 종류

발견된 전체 워드프레스 CVE 취약점을 유형별로 분류하면, XSS 취약점이 123개로 가장 많고, 그다음으로 코드 실행 취약점이 48개로 많다.

  • XSS
  • Http Response Splitting
  • Execute Code
  • Sql Injection
  • Gain Information
  • Denial of Service
  • Directory Traversal
  • Bypass Something
  • CSRF
  • Gain Privilege
  • File Inclusion
2004년 부터 2022년 까지 발견된 워드프레스 CVE 취약점 통계. 출처:MITRE Corporation의 CVE 통계 데이터

2004년 부터 2022년 까지 발견된 워드프레스 CVE 취약점 통계. 출처:MITRE Corporation의 CVE 통계 데이터

워드프레스로 제작된 전 세계 웹 사이트 탐지

Criminal IP (https://www.criminalip.io) 의 Asset Search에는 특정 기술이 사용된 서버의 IP 주소만 검색할 수 있는 tech_stack 필터 기능이 있다. tech_stack 을 활용하면 WordPress로 제작된 웹사이트가 운영되는 IP 주소만 필터링하여 검색할 수 있다. 특히, 심각한 CVE 취약점 패치가 되지 않은 구 버전의 워드프레스 웹페이지 IP 주소를 찾을 수도 있다. 

https://www.criminalip.io/asset/search?query=tech_stack:%20wordpress

tech_stack: wordpress

Criminal IP(www.criminalip.io) Asset Search에 tech stack 필터로 검색한 WordPress 기술이 적용된 웹 서버 리스트

Criminal IP (www.criminalip.io) Asset Search에 tech stack 필터로 검색한 WordPress 기술이 적용된 웹 서버 리스트

검색된 결과를 보면 WordPress 로 제작된 웹 서버가 약 66만 개의 IP 주소에서 운영되고 있다는 것을 알 수 있다. 

우측의 Top Countries에서는 WordPress tech stack이 적용된 IP 주소의 국가 별 통계를 확인할 수도 있다. 미국이 전체 IP 주소 중 약 25만 개로 가장 높게 나타나고 있다.

취약점 패치가 되지 않은 워드프레스 찾는 방법

검색된 전체 IP 주소 중에는 SQL 주입 취약점과 XSS 취약점 등 워드프레스 CVE 취약점 패치가 되지 않은 구 버전의 워드프레스 웹 서버도 포함되어 있다. SQL 주입 취약점과 XSS 취약점 모두 악성 스크립트를 실행시켜 워드프레스 관리자 권한을 얻거나, 사이트를 없앨 수도 있는 심각한 취약점으로 알려져 있다.

Crimianl IP Asset Search (https://www.criminalip.io/asset)에 키워드 검색과 tech_stack 필터를 조합하면 특정 버전의 WordPress가 사용된 IP 주소를 검색할 수 있다.

[Criminal IP Youtube – 오래된 워드프레스 버전의 웹서버 OSINT 검색 방법]

워드프레스가 사용된 웹사이트의 페이지 소스를 보면 워드프레스 버전이 “WordPress X.X.X”의 형태로 명시되어 있다. 따라서, 취약점 패치가 되지 않은 v4.8.2 워드프레스 적용 웹 서버를 검색하고 싶으면 WordPress 4.8.2″ tech_stack: wordpress를 입력하면 된다.

https://www.criminalip.io/asset/search?query=%22WordPress%204.8.2%22%20tech_stack:%20wordpress

“WordPress 4.8.2” tech_stack: wordpress

워드프레스 CVE 취약점 패치가 되지 않은 구 버전 워드프레스 검색 결과 화면

워드프레스 CVE 취약점 패치가 되지 않은 구 버전 워드프레스 검색 결과 화면

보안 패치가 되지 않은 WordPress 4.8.2 버전을 사용하는 웹 서버의 배너 일부

보안 패치가 되지 않은 WordPress 4.8.2 버전을 사용하는 웹 서버의 배너 일부

취약점 패치가 되지 않은 v4.8.2 가 적용된 웹사이트 IP 주소가 총 134개 검색되었다. 다만, WordPress 관리자 설정에 의해 Meta tag를 노출하지 않을 수 있기 때문에, 실제로는 이보다 더 많을 것으로 예상된다.

오래된 버전의 워드프레스 CVE 취약점 스캔 방법

검색된 취약한 워드프레스 웹 서버 중 하나의 Domain Search 스캔 결과를 확인해 보니, 워드프레스 v4.8.2로, 오래된 버전을 사용하고 있다. WordPress CVE 취약점 역시  CVE-2022-21663CVE-2021-44223 등 최신 취약점을 포함해 60개 이상이 해당되는 매우 취약한 상태로 확인된다.

https://www.criminalip.io/domain/report?query=104.236.147.213%3A80&scan_id=2069129

검색된 워드프레스 CVE 취약점 패치 미적용 웹 서버의 Domain Search 결과, WordPress 관련 취약점이 60개 이상 매핑된다

검색된 워드프레스 CVE 취약점 패치 미적용 웹 서버의 Domain Search 결과, WordPress 관련 취약점이 60개 이상 매핑된다

이처럼 낡은 버전의 Tech Stack은 취약점 패치가 되지 않았을 가능성이 높아 해커의 표적이 될 수 있다.

따라서, 블로그 등의 개인 웹사이트를 운영하고 있거나, 기업에서 WordPress 등의 웹사이트 관리 시스템을 사용한다면 정기적인 버전 업데이트 체크가 필수적이다.

관련하여 Redis Commander가 불러올 수 있는 데이터 침해 사고 글의 파비콘, 타이틀 검색으로 웹 서버를 탐색하는 방법을 참고하여도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 :

Redis Commander가 불러올 수 있는 데이터 침해 사고