오픈소스 웹 서버, 특히 Apache HTTP Server는 2017년부터 취약점 수가 급증하면서 현재까지도 꾸준히 공격자들에 의해 악용되고 있다. 공격자들은 다양한 취약점을 악용해 웹 서버를 공격하는데, 소프트웨어 패키지로 설치된 웹 서버를 타겟으로 선정하기도 한다.
이번 글에서는 소프트웨어 패키지 번들로 인해 발생하는 웹 서버 취약점과, 실제 노출되어 있는 기본 페이지 및 설정파일을 Criminal IP Asset Search를 활용해 탐지하는 방법에 대해 다룬다.

웹 서버 소프트웨어 패키지란? (XAMPP, Wamp, LAMP)

Apache HTTP 웹 서버는 단독(Standalone)으로 설치하는 것 보다 XAMPPWampLAMP 등 패키지 번들 형태로 설치하는 경우가 많다.

기본적으로 APM은 웹서버인 아파치(Apache)와 서버사이드 언어인 PHP, 데이터베이스 관리시스템(DBMS)인 MySQL / Maria DB를 의미한다. 이 세 가지 조합을 묶어서 표기하는 같은 의미의 다른 용어로 AMP를 사용하기도 한다.
보통 웹 서버를 구축 시 위 세 가지 소프트웨어를 다 설치해야 하기에 시간적 효율 등을 위해 사용되는 것이 웹 서버 설치 소프트웨어 패키지이다.

웹 서버 설치 소프트웨어 패키지 중 하나인 XAMPP
웹 서버 설치 소프트웨어 패키지 중 하나인 XAMPP

그 중, XAMPP는 X(Cross-platform), A(Apache), M(MariaDB), P(PHP), P(Perl)의 약자로 APM 외에도 웹서버를 위한 다른 프로그램들을 포함하고 있다.
꾸준한 업데이트와 워드프레스(WordPress), 미디어위키(MediaWiki) 등 많은 Add-ons 기능들이 포함되어 많은 개발자들이 사용한다.

웹 서버 소프트웨어 패키지 설치완료 페이지 외부 노출

소프트웨어 패키지로 설치된 웹 서버를 공격 대상으로 삼을 때에, 공격자는 웹 서버에 대한 정보를 탐색한다. 그 때 악용되는 것이 설치완료 기본페이지이다.
기본 페이지가 외부 인터넷에 노출되어 있으면 그 자체로 웹 서버 취약점이 될 수 있다.

노출된 XAMPP 웹 서버 검색 방법

XAMPP 소프트웨어 패키지로 설치된 Apache HTTP 웹 서버 기본 페이지는 아래와 같이 HTML Title로 검색할 수 있다.

Search Query : title: “Welcome to XAMPP”

Criminal IP Asset Search에 XAMPP 소프트웨어 패키지 기본페이지를 검색한 결과
Criminal IP Asset Search에 XAMPP 소프트웨어 패키지 기본페이지를 검색한 결과

검색된 7만 2천 개 웹 서버 중 한 곳에 접속하니 아래와 같은 XAMPP 설치완료 기본 페이지로 접속 된다. 우측 상단에는 PHP 정보(PHPinfo), phpMyAdmin 페이지로 접속할 수 있는 메뉴가 있다.

노출된 XAMPP 소프트웨어 패키지 설치완료 기본페이지 화면
노출된 XAMPP 소프트웨어 패키지 설치완료 기본페이지 화면

우측 상단에 PHP Info를 클릭하면 웹 서버의 phpinfo() 함수 실행 결과를 확인할 수 있다.

노출된 XAMPP 기본 페이지를 통해 접속한 PHP Info 페이지
노출된 XAMPP 기본 페이지를 통해 접속한 PHP Info 페이지

또한, 우측 상단에 phpMyAdmin 메뉴를 클릭하면 관리자로 로그인할 수 있는 로그인 페이지가 보여진다.

노출된 XAMPP 기본 페이지를 통해 접속한 phpMy Admin 페이지
노출된 XAMPP 기본 페이지를 통해 접속한 phpMy Admin 페이지

노출된 WAMP 웹 서버 검색 방법

이러한 기본 페이지가 노출되는 소프트웨어 패키지 설치형 웹 서버 취약점은 XAMPP에만 해당되는 것이 아니다. WAMP 와 LAMP 역시 비슷한 방법으로 OSINT 검색엔진을 통해 노출된 웹 서버 기본페이지를 탐지할 수 있다.

Search Query : title: “WAMP5 Homepage”
Search Query : title: “WAMPSERVER Homepage”

Criminal IP Asset Search로 검색한 WAMP 서버 기본페이지
Criminal IP Asset Search로 검색한 WAMP 서버 기본페이지
노출된 WAMP 서버 기본 페이지 접속 화면
노출된 WAMP 서버 기본 페이지 접속 화면

노출된 LAMP 웹 서버 검색 방법

Search Query : title: LAMP stack installation scripts by Teddysun

노출된 LAMP 서버 기본 페이지 접속 화면
노출된 LAMP 서버 기본 페이지 접속 화면

Directory Index 로 웹 서버 설정 정보 탐색

노출된 Directory Index에서 설정 파일을 찾아 악용하는 경우도 있다. 아래 이미지는 소프트웨어 패키지 XAMPP 로 설치된 웹 서버 설정 파일이 실제로 노출된 사례이다.

‘httpd-xampp.conf’ 파일명으로 된 설정파일에는 XAMPP 설치형 httpd 웹 서버 실행과 관련된 다양한 정보가 포함되어 있다.

노출된 XAMPP 소프트웨어 패키지 설치 웹 서버의 Directory Index
노출된 XAMPP 소프트웨어 패키지 설치 웹 서버의 Directory Index

‘httpd-xampp.conf’ 파일을 열어보면 아래와 같이 XAMPP 웹 서버의 Setting 내용을 볼 수 있다.

노출된 Directory Index 에서 발견한 ‘httpd-xampp.conf’ 파일. XAMPP 웹 서버의 Setting 내용이 보여진다
노출된 Directory Index 에서 발견한 ‘httpd-xampp.conf’ 파일. XAMPP 웹 서버의 Setting 내용이 보여진다

오픈소스 소프트웨어 패키지 번들 설치 시 주의사항

이처럼 공격자들은 다양한 OSINT 정보를 수집해 웹 서버 취약점을 탐색한다. 때문에, 오픈소스 웹 서버 소프트웨어 사용 시에는 웹 서버 정보 등이 담겨있는 기본 페이지와 설정 파일이 담긴 Directory Index 페이지가 노출되어 있지 않은 지 필수로 점검해야 한다.

기본 페이지 또는 Directory Index 페이지의 URL로 외부 인터넷에서 접속이 가능한 상태일 경우, 노출된 설정 파일에 대한 권한 설정을 변경하거나, 웹 서버 환경 설정을 변경해 조치해야 한다.

관련하여 웹 서버 중 NGINX 설정 파일이 노출된 사례와 탐색하는 방법을 다룬 글을 참고할 수 있다.

데이터 출처 : Criminal IP(https://www.criminalip.io)

관련 글 :

원격지의 노출된 NGINX 설정 파일을 변경할 수 있는 보안 취약점