누군가 수천 개의 웹사이트에서 사용되는 수십 개의 WordPress 플러그인에 백도어를 심었습니다
Source: TechCrunch
Image Credits: Bryce Durbin / TechCrunch
워드프레스 플러그인에서 백도어 발견
수십 개의 플러그인이 널리 사용되는 오픈소스 블로그 플랫폼 워드프레스용으로 제공되었으나, 영향을 받은 플러그인을 사용하는 모든 사이트에 악성 코드를 삽입할 수 있는 백도어가 발견된 뒤 오프라인으로 전환되었습니다. 이 백도어는 플러그인을 새로운 기업 소유주가 인수한 뒤 추가되었습니다.
Anchor Hosting 창업자 오스틴 긴더는 지난 주 블로그 게시물에서 Essential Plugin이라는 워드프레스 플러그인 제작사를 대상으로 한 공급망 공격을 설명했습니다. 긴더에 따르면, 누군가가 지난해 Essential Plugin을 인수했으며(Flippa 기사 보기), 곧바로 플러그인 소스 코드에 백도어가 삽입되었습니다. 이 백도어는 이번 달 초에 활성화되어 플러그인이 설치된 모든 웹사이트에 악성 코드를 배포하기 시작했습니다.
Essential Plugin의 웹사이트에 따르면 현재 40만 건 이상의 플러그인 설치와 1만5천 명 이상의 고객을 보유하고 있습니다. 워드프레스 플러그인 디렉터리는 영향을 받은 플러그인이 2만 개 이상의 활성 워드프레스 설치에 존재한다고 표시합니다.
영향 및 위험
플러그인은 워드프레스 사이트의 기능을 확장하지만, 동시에 사이트의 파일과 데이터베이스에 접근할 수 있는 권한을 얻습니다. 따라서 악성 플러그인은 전체 설치를 손상시킬 수 있습니다. 긴더는 플러그인 소유권이 변경될 때 워드프레스 사용자는 별도의 알림을 받지 못해 새로운 소유주에 의해 인수 공격에 취약해진다고 경고했습니다.
긴더에 따르면, 이번 사례는 수 주 내에 발견된 두 번째 워드프레스 플러그인 탈취 사건입니다. 보안 연구원들은 악의적인 행위자가 소프트웨어를 구매하고 코드를 변경해 전 세계 수많은 사이트를 위험에 빠뜨릴 수 있다는 위험성을 오래전부터 경고해 왔습니다(Pluto Security 기사).
복구 방안
플러그인은 워드프레스 디렉터리에서 삭제되었으며 현재 “영구 폐쇄” 상태로 표시됩니다(플러그인 페이지). 워드프레스 사이트 소유자는 다음 조치를 취해야 합니다:
- 설치된 플러그인 중 악성 플러그인이 있는지 확인합니다.
- 영향을 받은 플러그인을 즉시 제거합니다.
긴더는 자신의 블로그 게시물에서 영향을 받은 플러그인 목록을 제공하고 있습니다.
Essential Plugin 관계자는 논평 요청에 응답하지 않았습니다.