Fortra FileCatalyst Workflow는 SQL 주입 취약점을 가지고 있으며, 이 취약점으로 인해 원격의 인증되지 않은 공격자가 사기성 관리자 사용자를 생성하고 애플리케이션 데이터베이스의 데이터를 조작할 수 있습니다.
FileCatalyst Workflow는 대용량 파일 크기를 지원하는 웹 기반 파일 교환 및 공유 플랫폼입니다. 전 세계 조직에서 데이터 전송을 가속화하고 프라이빗 클라우드 공간에서 협업하는 데 사용됩니다.
CVE-2024-5276으로 추적되는 심각한(CVSS v3.1: 9.8) 취약점은 Tenable 연구원들에 의해 2024년 5월 15일에 발견되었지만 어제야 공개되었습니다.
포트라는 보안 공지에서 해당 결함으로 인해 관리자 사용자 생성과 데이터베이스 조작이 가능하지만, 이를 통한 데이터 훔치기는 불가능하다고 설명했습니다.
Fortra의 게시판에는 “Fortra FileCatalyst Workflow의 SQL 주입 취약점을 통해 공격자가 애플리케이션 데이터를 수정할 수 있습니다.”라고 설명되어 있습니다.
“가능성 있는 영향에는 관리 사용자 생성 및 애플리케이션 데이터베이스의 데이터 삭제 또는 수정이 포함됩니다. 이 취약성을 사용하면 SQL 주입을 통한 데이터 유출이 불가능합니다.”
이 결함은 FileCatalyst Workflow 5.1.6 빌드 135 및 이전 버전에 영향을 미칩니다. 수정 사항은 사용자에게 권장되는 업그레이드 대상인 FileCatalyst Workflow 5.1.6 빌드 139에서 제공되었습니다.
인증되지 않은 익스플로잇은 또한 대상 인스턴스에서 익명 액세스가 활성화되어야 합니다. 그렇지 않으면 CVE-2024-5276을 익스플로잇하려면 인증이 필요합니다.
공개적 악용이 가능합니다
Tenable은 2024년 5월 15일에 CVE-2024-5276을 발견했으며, 취약점을 입증하는 개념 증명(PoC) 익스플로잇과 함께 5월 22일에 처음으로 Fortra에 이 문제를 공개했습니다.
Fortra의 보안 공지가 발행되는 동시에 Tenable은 자체 익스플로잇을 공개하여 익명의 원격 공격자가 Workflow 웹앱의 다양한 URL 엔드포인트에서 ‘jobID’ 매개변수를 통해 SQL 삽입을 수행할 수 있는 방법을 보여주었습니다.
문제는 ‘findJob’ 메서드가 사용자가 제공한 ‘jobID’를 사용하여 SQL 쿼리의 ‘WHERE’ 절을 형성할 때 입력을 정제하지 않고 사용한다는 것입니다. 이를 통해 공격자가 악성 코드를 삽입할 수 있습니다.
Tenable의 스크립트는 FileCatalyst Workflow 애플리케이션에 익명으로 로그인하고 ‘jobID’ 매개변수를 통해 SQL 주입을 수행하여 알려진 비밀번호(‘password123’)를 사용하는 새로운 관리자 사용자(‘operator’)를 삽입합니다.
결국, 로그온 토큰을 검색하고 새로 만든 관리자 자격 증명을 사용하여 취약한 엔드포인트에 로그인합니다.
이 문제가 실제로 악용되고 있다는 보고는 없었지만, 작동하는 악용 사례가 공개된다면 곧 상황이 바뀔 수도 있습니다.
2023년 초, Clop 랜섬웨어 갱단은 CVE-2023-0669로 추적되는 Fortra GoAnywhere MFT 제로데이 취약점을 악용해 데이터 유출 공격을 감행해 해당 제품을 사용하는 수백 개 조직을 협박했습니다.
