axis2 default password 로그인 취약점
1. 점검 개요
1) 취약점 진단 대상 : 고객들이 사용중인 BB XX 서비스 취약점 분석 및 모의해킹
2. 취약점 점검 결과 요약
1) A05: Security Misconfiguration (보안 설정 오류)
2) 접근 통제 관리자 페이지 접근 통제 취약
3) 특정 어플리케이션에서(Apache Axis2) 제공하는 관리자 계정(ID/Password)을 변경하지 않고 사용
4) 관리자 페이지 외부에 ANY 노출
5) 50여대 서버 동일 취약점으로 운영중
3. 점검 상세 내용
1) 관리자 페이지 접근 통제 미흡
BB XX 서비스에서 사용중인 Axis2 웹 어플리케이션 환경 설정 미흡으로 인한 취약점 발견
취약 URL : http://xx.xx.xx.xx:0000/xxxx/axis2-admin/
취약 URL Search 과정 / 쉽게 확인 가능
에이전트 다운로드 -> 설치후 -> 환경설정 -> wsdl주소 확인 가능
관리자 페이지 (http://x.x.x.x:0000/xxxx/axis2-admin/)
Axis2 관리자 Default Password 사용중
Axis2 Default Password는 인터넷에서 쉽게 획득 가능하며, 알려진 CVE 다수 존재
관리자 페이지 로그인 화면 (admin / axis2)
로그인 성공 화면
관리자 권한으로 Axis 컨트롤 (모듈 활성화, 서비스 삭제등)
악성 코드 업로드 및 서버 권한 탈취
악성코드 JAR 파일 업로드후 리버스 세션 성립으로 서버 탈취 성공
운영중인 Linux Server OS /etc/passwd 탈취 성공
DB, 웹어플리케이션 정보, 민감 정보 탈취 및 root 권한으로 서버내 모든 컨트롤 가능
4. 점검 결과
1) 관리자 페이지 URL(/xxxx/axis2-admin/login) 외부 ANY 노출 상태
2) 관리자 페이지 Default 패스워드 (admin / axis2)로 어디서는 누구나 로그인 가능
3) 해당 취약점을 활용한 다양한 형태의 해킹 공격 가능
4) 운영 서버 악성 코드 업로드 가능
5) 악성코드 실행 리버스 세션 성립으로 서버 모든 권한 장악 및 민감 데이터 탈취 가능
6) 악의적 행위로 서비스 장애 유발 가능 (서비스 삭제등)
5. 권고 및 개선 조치 사항
1) 관리자 페이지 접근 통제 강화
- /xxxx/axis2-admin/login 페이지 접근 불필요시 삭제 권고
- 부득이한 사유로 필요시 특정 IP에서만 접속할수 있도록 변경
2) 관리자 계정 로그인 필요시 Default Password (axis2) 변경 필수
3) 서비스중인 BB XX 서비스 서버 전수 조사 후 상기 두가지 항목 설정 필수 적용 권고
본 포스팅은 실제 모의해킹/취약점 분석 사례를 기반으로 작성되었으며
취약점에 대해 모든 보완 조치가 완료된 상태입니다.
민감 정보는 모두 마스킹(가림처리) 처리로 대상 조직에 어떠한 불이익도 없음을 명시합니다.
사이버 보안 업계 종사자나 보안 꿈나무들에게 조금이나마 도움이 되고자 작성한 글이며
악의적, 상업적 용도의 사용 및 가공은 자제 부탁드립니다.
'SECURITY/모의해킹 취약점분석' 카테고리의 글 목록
정보 지식 공유와 나눔으로 상생의 가치 실현해요 ^^
rootkey.tistory.com
