주 단위 웹 공격 추이

주 단위 웹 공격 추이를 통해 웹 공격이 어느 시기에 많이 발생했는지 확인할 수 있습니다. 이를 바탕으로 공격이 많은 시기에 미리 웹 공격으로부터 예방 및 대응책을 마련할 수 있습니다.

 

아래 그래프는 2024년 11월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

 

 

 

 

 

 

 

 

 

 

 

2024년 11월에는 일 평균 약 24만 건 이상의 공격이 탐지되었으며, 특히 1일에 가장 많은 공격이 발생한 것을 확인 할 수 있습니다.

21일에 발생한 취약점중 가장 많은 공격 시도된 SQL Injection의 경우 저희 AIWAF내 가장 많은 탐지 조건을 가지고 있습니다. 하지만 SQL Injection 공격의 경우 새로운 공격 유형 및 우회 방법이 많기 때문에 항시 모니터링을 진행 하고 있습니다.

 

---

 

공격 유형별 웹 공격 동향

탐지 로그 기반으로 공격 유형별 웹 공격 동향을 통해 한 달 동안 어떤 공격이 많았는지 확인할 수 있습니다. 이를 바탕으로 기본적인 웹 공격 대응 가이드라인을 수립함으로써 해당 공격 유형에 대한 예방 및 대응책을 마련 할 수 있습니다.

 

아래 그래프는 2024년 11월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

 

Web Attack Trends by Rule

 

 

 

 

 

 

 

 

 

 

 

 

SQL Injection(38.8%) 공격 유형이 가장 많았으며, App weak(20.15%), Default page(19.92%),  Directory Traversal(8.62%) 순으로 탐지 되었습니다.

 

SQL Injection은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다. 사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다. 다음과 같은 구문이 쿼리값에서 발생하였다면 공격을 의심해보시기 바랍니다.

 

app weak은 공격자가 무단 액세스를 얻거나 악의 적인 작업을 수행하기 위해 악용할 수 있는 앱 내의 취약점을 나타냅니다. 이러한 취약점은 잘못된 코딩 관행, 잘못된 구성 또는 불충분한 보안 조치로 인한 경우가 이에 해당됩니다. 일반적으로 앱 프로그램 사용 시 인가된 파일을 제외하고 인가 되지 않은 파일들을 의심해 보시기 바랍니다.

 

---

 

최근 3개월 웹 공격 추이 그래프 요약

 

8월

 

 

 

 

 

 

 

 

 

 

 

 

9월

 

 

 

 

 

 

 

 

 

 

 

 

10월

 

 

 

 

 

 

 

 

 

 

 

 

---

 

공격자 IP Top 30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

---

 

취약점 분석 보고서

Joomla! CMS Security Bypass (CVE-2023-23752)

 

1. 개요

CVE-2023-23752는 Joomla! 4.0.0에서 4.2.7까지의 버전에서 발견된 취약점입니다. 이 취약점은 잘못된 접근 확인으로 인해 웹 서비스 엔드포인트에 대한 무단 접근을 허용합니다. 이로 인해 악의적인 사용자가 인증 없이 데이터에 접근하거나 시스템을 조작할 수 있는 위험이 존재합니다.

 

 

 

 

 

출처 : https://www.idappcom.co.uk/post/joomla-cms-security-bypass-cve-2023-23752

 

2. 공격 유형

Joomla 기본 라우팅 항목 중 개발자를 위한 REST API인 api/index.php 아래 API는 기본적으로 접근이 막혀있습니다.

 

하지만 특정 API는 파라미터에 public=true를 포함 시켜 접근하면 접근이 가능하며, 이를 통해 내부 정보에 대해 접근이 가능합니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처: https://xz.aliyun.com/t/12175?time__1311=GqGxRDuDgA0%3D%3DGN4eeTq18e40KD%3DDcnQWoD

 

접근 가능한 API

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

위 API는 데이터베이스 계정 및 비밀번호를 포함하여 웹사이트의 가장 중요한 구성 정보를 얻는 데 사용됩니다.

 

3. 대응 방안

CVE-2023-23752 취약점에 대한 보편 적인 대응 방법은 다음과 같습니다:

 

1) Joomla! 4.0.0에서2.7까지의 버전을 사용하는 경우, 최신 보안 패치

2) 서버 차원에서 접근 통제 강화 및 WAF 기능을 통해 데이터 차단

 

4. 결론

CVE-2023-23752는 Joomla! 4.0.0부터 4.2.7까지의 버전에서 발견된 취약점으로, 잘못된 접근 확인으로 인해 웹 서비스 엔드포인트에 대한 무단 접근을 허용합니다. 이로 인해 악의적인 사용자가 인증 없이 시스템에 접근하거나 데이터를 조작할 수 있는 위험이 발생합니다.

 

Joomla의 기본 라우팅 항목 중 REST API인 api/index.php는 기본적으로 접근이 차단되어 있지만, 특정 파라미터(public=true)를 포함하면 내부 정보에 접근할 수 있습니다. 이 API는 데이터베이스 계정 및 비밀번호와 같은 중요한 구성 정보를 노출시킬 수 있습니다.

 

이에 대한 대응으로는, affected versions의 최신 보안 패치를 적용하고, 서버 차원에서 접근 통제를 강화하며, 웹 애플리케이션 방화벽(WAF)을 통해 데이터를 차단하는 것이 필요합니다.

 

5. 참고 자료

• https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html
• https://nsfocusglobal.com/joomla-unauthorized-access-vulnerability-cve-2023-23752-notice/
• https://xz.aliyun.com/t/12175?time__1311=GqGxRDuDgA0%3D%3DGN4eeTq18e40KD%3DDcnQWoD

 

---

 

최신 취약점 CVE 현황

 

1. 고위험 취약점 현황 (2024.11)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. 고위험 취약점 설명