phpMyAdmin 취약점 악용

개요

phpMyAdmin은 기본적으로 GUI 환경에서 MySQL 또는 MariaDB을 관리할 수 있는 PHP로 작성된 무료 소프트웨어로, 데이터베이스에 대한 테이블, 열, 권한, 쿼리 작성 등에 대한 기능을 사용자 인터페이스 환경에서 지원하고 있습니다. 데이터베이스 관리자 입장에서는 손쉽게 사용할 수 있는 편리한 도구지만 그만큼 관리가 미흡하면 리스크가 높아질 수 있는 양날의 소프트웨어라고 볼 수 있습니다.

 

컨설팅을 진행하면 기본적으로 robots.txt에 선언된 디렉토리를 확인하게 되는데 phpMyAdmin을 사용할 경우 손쉽게 확인할 수 있습니다. 중요한 점은 이러한 phpMyAdmin에 대한 접근 정책이 어떻게 이루어져 있냐입니다.

 

robots.txt 경로에는 대부분의 검색 엔진에 노출되긴 봇의 수집 권한을 제한하기 위해 사용되지만 사실 해커들 입장에서는 수집되고 안되고의 문제는 크게 중요하지 않습니다. 즉 GHDB 용도는 거들 뿐입니다.

 

노출된 경로를 통해서 접근해본 결과 별도의 403 Forbidden으로 돌리지 않고 인증 페이지를 보여주고 있습니다. phpMyAdmin의 경우 웹 브라우저 환경에서 데이터베이스를 관리하기 위해 2가지 인증방식을 사용하도록 하고 있습니다.

1. HTTP Basic Authentication = .htaccess를 이용해 데이터베이스를 이용
2. Cookie => 일반적으로 사용하는 Session 방식이며 ID 와 Password를 입력 받음

대부분의 phpMyAdmin 서비스 이용 시 2번의 Cookie 방식을 통해 접근하도록 수행하고 있지만 종종 HTTP Basic 방식 즉 웹 서버 인증을 통해 접근제어를 하는 경우가 존재합니다. 철저한 접근통제를 설정하여 관리한다면 안전하겠지만, 여기서 말하는 철저하다는 것은 선택적인 보안 수준입니다. 즉 수동적으로 보안 수준을 높이지 않는 이상 기본적으로 취약한 환경에 노출될 가능성이 높습니다.

 

HTTP Basic 인증방식을 사용하는 phpMyAdmin에는 첫 번째 결함이 존재합니다. 기본적으로 httpd.conf 내에 POST와 GET 방식에 대해서는 선언이 되어있다 하더라도 나머지 메소드 처리에 대한 정의가 존재하지 않습니다. 이러한 문제는 phpMyAdmin의 HTTP Basic 인증방식을 우회할 수 있는 문제로 이어집니다.

 

위에서 GET이나 POST 방식의 인증을 시도하면 당연히 ID 와 Password가 입력되어 있지 않아 401 인증 실패가 나타났었습니다. 하지만 웹 서버 내부에 선언되어 있지 않은 타 메소드(PUT, DELETE, TRACE, OPTIONS)로 변조하여 요청하게 되면 인증 로직을 우회할 수 있습니다.

 

phpMyAdmin 하위에 존재하는 설정 파일 중 /scripts/setup.php 파일의 경우 phpMyAdmin이 설치될 때 기본적으로 포함되는 파일로 노출이 불필요한 정보들이 있기 때문에 삭제를 권고하고 있습니다. 실제로 Github에 배포되고 있는 phpMyAdmin의 Fuzzing 도구 내부에는 위의 경로를 집중적으로 열거하고 있다는 점에서 관리할 필요가 있습니다.

 

설정 관련 영역에 접근하면 노출되지 말아야 할 중요 계정들이 노출될 수 있습니다. 비록 ****마스킹 처리가 되어 있어도 HTML을 조금만 수정해주면 평문으로 확인할 수 있겠죠?..

 

좀 더 확실한 위협 가능성을 파악하고 싶다면 Github에 공유되는 Fuzzing 경로보단 Exploit DB에 공개된 경로를 참고하시는 것이 좀 더 빠르게 크리티컬 한 면을 발견하실 수 있습니다. 위처럼 phpMyAdmin에 대한 HTTP 인증을 우회할 수 있게 된다면 하위 모든 파일에 접근이 가능하여 중요정보 획득, 실시간 디버깅이 발생하는 등의 문제가 생깁니다.

 

대상 phpMyAdmin 2.11.11.3으로 2011년도에 Release 된 오래된 버전을 사용하고 있었습니다. 공개된 취약점을 알아보던 중 phpMyAdmin 3.3.8.1 또는 3.4.0-beta1 이전 버전에 존재하는 “error.php” 내부에 HTML 기능과 유사한 bbcode(@)가 허용되어 있어 해당 페이지를 통해 “크로스 사이트 스크립팅”을 유발할 수 있는 취약점이 있다는 것을 추가적으로 파악했습니다.

 

동일한 방식으로 웹 서버에 지정되지 않은 메소드를 활용하여 HTTP Basic 인증을 우회한 결과 성공적으로 접근이 가능합니다.

 

error.php 파일을 통해 임의 메소드를 지정하여 페이지 내부에 코드를 삽입할 수 있는지 테스트해본 결과 지정된 입력 값이 삽입되어 보이는 것을 확인할 수 있습니다. 이를 통해 해커는 임의 코드를 삽입한 상태에서 관리자를 타깃으로 공격할 수 있습니다.

 

phpMyAdmin/error.php?type=guleum&error=guleum[a@http://192.168.0.30/xss.php?@page]PleaseClick[/a]

문자열 구분자 “?” 와 “type”/“error” 매개변수를 통해 임의 문구를 입력하면 페이지 내부에 삽입된다. 이러한 점을 통해 공격자는 해당 페이지에 접근한 관리자의 로그인 정보를 획득할 수 있는 크로스 사이트 스크립팅 관련 링크를 삽입할 수 있습니다.

 

해당 스크립트가 삽입된 링크를 클릭한 사용자는 공격자가 지정해둔 형태의 코드가 실행되게 되며 이러한 로그인 세션정보는 공격자에게 넘어가게 되는 게 일반적인 형태입니다. 하지만 코드가 실행되면 세션정보 말고도 확실한 값을 얻기 위해 동일한 피싱 페이지로 넘기는 방법도 괜찮습니다. 가장 고전적인 형태지만 상대적인 결과의 사회공학 기법이기 때문에 아직까지 많이 사용됩니다.

 

site:*/phpMyAdmin

공통적으로 보여지는 피싱 페이지를 만들기 위해선 원본 html, css경로, javascript 등이 필요합니다. 직접 코드를 작성하셔도 좋지만 컨설팅 또는 단시간 내에 작업하기 위해선 Google Engine의 힘을 빌리는 것도 좋습니다.

 

피싱 페이지 사용될 적당한 페이지를 확인했다면 wget 명령을 사용하여 가져옵니다. --convert-link는 다운로드를 마친 후 링크를 로컬로 변경해주는 옵션입니다.

 

피싱 페이지로 이용한다면 당연히 로그인 이후의 데이터 처리는 공격자의 웹 서버 파일로 향하도록 되어있어야 합니다. post.php 파일의 정보가 궁금하시면 제 깃헙링크를 참고하시면 됩니다. 데이터 처리방식을 2가지 형태로 간단하게 작성해뒀습니다. 매개변수의 수정이 필요한 것과 POST 요청에 대한 일괄적인 처리입니다.

https://github.com/guleum/Phishing_Guide

guleum/Phishing_Guide

 

대략 이런 형태의 피싱 페이지가 생성되었다고 가정하겠습니다. 실제 악용을 한다면 공격자는 타인의 정보를 통해 호스팅 서버에 피싱 데이터를 업로드하고 유사 도메인으로 하기 위해 dns를 변조하여 관리자들의 계정을 탈취하기 위한 사회공학 기법과 서비스 페이지의 취약점을 시도할 것입니다.

 

https://www.example.com/phpMyAdmin/error.php? type=guleum&error=guleum[a@http://192.168.0.30/phpmyadmin.html?@page]PleaseClick[/a]

첫 시작의 도메인이 www.example.com 인 것을 확인하고 의심하지 않은 상태로 페이지에 접근하게 될 경우 자연스레 공격자가 만들어 둔 피싱 페이지로 실시간 계정 탈취를 당할 가능성이 존재합니다.

 

이처럼 공격자는 www.example.com의 도메인을 통해 취약점을 공략 중 HTTP Basic 인증을 통한 phpMyAdmin 소프트웨어를 사용하는 것을 파악하였고, HTTP 인증 우회를 통해 내부 설정 파일의 정보와 쿼리문을 실행할 수 있는 페이지를 확인했습니다. 추가적으로 phpMyAdmin의 취약점이 존재할 경우 이를 통해 다양한 공격 시도가 가능한 만큼 안전한 관리가 필요합니다.

 

대응방안

phpMyAdmin 페이지에 허용할 IP 등록
phpMyAdmin의 이름을 유추하기 힘들게 설정
phpMyAdmin 설치 후 불필요한 설정 파일
웹 서버에서 Method(PUT, DELETE, HEAD, TRACE 등) 제한 설정

안전하게 phpMyAdmin을 관리하기 위해선 크게 3가지 방법이 존재합니다. 첫 번째로 다수의 사용자가 접근할 필요가 없는 phpMyAdmin은 허용할 IP를 지정해주는 것이 좋으며, 설치 후 운영상 불필요한 설정 파일은(scripts/setup.php 등) 별도로 백업 후 제거해주는 것이 좋습니다.

 

마지막으로 HTTP Basic 인증 방식은 "Base64" 방식으로 인코딩을 통해 전달되고 있어 보안상 안전하지 않습니다. 되도록 Cookie 방식을 통해 인증하는 것을 권고합니다.

//httpd.conf 설정 
<Directory "/usr/share/phpMyAdmin"> # yum으로 설치 시 기본경로  
Options FollowSymLinks Multiviews  
AllowOverride None  
Order deny,allow  
Deny from all  
Allow from 1.210.182.6  # 접근을 허용할 IP 지정
Allow from 213.101.141.119  # 접근을 허용할 IP 지정
</Directory>
또는 # Apache 2.2 이상 버전일 경우
 Require all denied 
 Require ip # 접근을 허용할 IP 지정
 
 //httpd.conf를 통한 GET AND POST 이외에 모든 메소드 제한
<Directory /home> # 해당 도메인의 경로
<LimitExcept GET POST>
Order deny.allow # GET 과 POST 이외에는 403 처리
Deny from all
</LimitExcept>
</Directory>