몇몇 유용한 ColdFusion component를 개발해서 다소 비싼가격에 팔고 있는(?) Foundeo에서 웹상에서 자신의 ColdFusion의 위협요소를 간단하게 살펴볼 수 있는 Hackmycf하는 사이트를 오픈했씁니다. 자신의 ColdFusion이 설치된 웹사이트 주소를 입력하고 검사하면 검사결과를 이메일로 전송해 줍니다.

그런데, 아마 대부분의 ColdFusion웹사이트에서 Critical 요소가 나올 겁니다. 바로 ColdFusion엔진 자체의 디버깅 오류메시지 페이지 때문인데요, Adobe ColdFusion이나 Railo의 웹관리자 페이지에서 error페이지에 대한 템플릿을 간단한 페이지로 제작하여 지정하거나, 해당 템플릿을 수정하여 서버정보 및 소스정보가 최소한의 노출되도록 조절해야 할 것 같습니다. 이외 Adobe ColdFusion 8 이상의 버전에서는 FCKeditor(현재의 CKEditor)의 패치를 반드시 하시길 바랍니다.

http://www.adobe.com/support/security/bulletins/apsb09-09.html

제가 사랑하는 Ubuntu Server Edition은 UFW라는 기본 방화벽 설정 Tool이 있습니다. 내부적으로는 iptables로 적용되지만, Rule설정 및 사용법은 쉽게 만든 것인데요. 일반적으로 다음과 같이 쓰입니다.

# 123.456.789.0 아이피만 SSH로 접속가능하게 하려면
sudo ufw allow from 123.456.789.0 to any port 22

이렇게 설정하면 해당 아이피만 22번으로 들어올 수 있고, 나머지는 거부합니다. 물론 UFW는 우분투를 설치 후 자동으로 활성화 되지 않기 때문에 설치 후 맨먼저 sudo ufw enable로 활성화 해준 다음(비활성화하고자 한다면 sudo ufw disable하면됩니다.) Rule를 추가해주면 되고, 설정상황을 보려면 sudo ufw status로 확인할 수 있습니다.(쉘상의 아무곳에서나 설정가능)

하지만, 우분투도 내부적으로는 iptables를 사용하기 때문에 UFW로 Rule을 추가후에 iptables -L해보면 UFW의 Rule이  iptables 형식으로 지정되어 있다는 것을 확인 가능할 것 입니다.

문제는 iptables가 좀 어렵다는 겁니다. 저 역시 아직 머리속에 다 넣지 못하고(사실 아예 넣지 못하고) 있습니다. UFW는 사용법을 아는데 말입니다. 저의 경우 Ubuntu 뿐만 아니라, CentOS도 사용을 하는데 CentOS와 같은 Redhat 계열의 리눅스에서는 UFW가 없으므로 iptables로 방화벽을 설정해야 하는데, 어렵기도 하고 귀찮아서 다음과 같은 쉘 스크립트를 만들었습니다. 적절히 수정해서 ROOT권한으로 실행하세요. 단, 웹디렉토리안에 이 쉘파일이 절대로 있어서는 안됩니다.(초보자가 FTP로 이 쉘을 자신의 홈페이지 루트에 올려 발생하는 모든 일은 본인의 행동을 탓하시길 바랍니다.) 시스템관리자만 사용하세요. 물론 웹호스팅환경에서는 실행도 안되거니와 혹시 실행되었다고 한다면 아마 본인은 해당 웹호스팅사로부터 막대한 피해보상을 청구당할 수 있습니다. (절대 시스템관리자만 사용할것)  

#!/bin/bash
IPTABLES=/sbin/iptables

#Rule정의
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT

#Localhost에서의 Taraffic은 허용
$IPTABLES -A INPUT  -i lo -j ACCEPT
$IPTABLES -A OUTPUT  -o lo -j ACCEPT

#알수 없는 패킷은 거부
$IPTABLES -A INPUT  -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

#응답이 있었던 접속이나 관련된 접속 허용
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#시스템에서 사용하는 기본 포트설정 :  아이피주소 부분은 원하는 주소로 변경하세요.
#22번은 SSH포트이므로 특정 아이피에서만 접속가능하도록 하는 것이 좋습니다.
#25번 포트는 Sendmail이며, 80은 Web, 53/953번은 DNS서버, 110은 메일수신포트입니다.
$IPTABLES -A INPUT -p tcp -s 아이피주소 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 953 -m state --state NEW,ESTABLISHED -j ACCEPT

#서버로 들어오는 모든 포트 차단
$IPTABLES -A INPUT -p tcp -j DROP

Download

Adobe CF8에서는 <CFFORM>태그내에서 Textarea를 처리할때 <CFTEXTAREA>라는 태그로 웹에디터를 동적으로 활성화할 수 있습니다. 유명한 FCKEditor인데요. 이 에디터가 CF8에 기본적으로 내장되어 있어 일일히 삽입할 필요 없이, 쉽게 richText=true라는 옵션으로 활성/비활성할 수 있습니다.

그런데 문제는 사실 저는 예전의 CFMX7에서도 이 에디터를 삽입해서 사용했는데 이 에디터가 상당히 강력한 기능을 가지고 있어 보안적으로는 문제가 있겠다 싶었습니다. 우선, 서버의 파일의 목록을 확인하고, 업로드/삭제 등이 가능한 기능을 제공합니다. ASP, PHP, JSP 등의 언어와 함께 CFML도 자체적으로 지원하고 있어 환경설정파일에서 어떤언어로 파일 업로드를 처리 할 것인지 서버환경에 맞춰 지정만 하면 되는 겁니다.

상당히 편리한 기능이지만, 글쓰기 권한이 있는 사람들에게 쉽게 파일업로드가 가능해 진다는 것(물론 기본적으로 업로드되는 파일의 종류와 Sctipt파일에 대한 예외처리는 지원됩니다)과 설사 스킨을 조정하여 업로드를 하지 못하도록 설정했더라도, 워낙 유명한 에디터라 실제 업로드를 처리하는 cfml파일의 경로는 쉽게 파악할 수 있어 늘 공격의 대상이 되겠구나 했습니다.

사실 FCKEditor의 취약점이기도 하지만, FCKeditor의 잘못이라기 보다.. 손쉽게 브라우저에서 파일을 업로드하고, 이미지를 첨부하는 대다수의 이용자의 욕구를 조금 나쁘게 이용하려는 악성코드배포자들에게 잘못이 있다고 볼 수 있겠죠.

암튼 Adobe에서 Patch는 내놓았습니다. 적용범위는 CF8, CF8.0.1버전의 Developer, Enterprise버전 모두 해당됩니다.

http://www.adobe.com/support/security/bulletins/apsb09-09.html

하지만, FCKeditor는 그동안에도 늘 패치를 해왔으므로, CF8처럼 내장하지 않고, 별도로 직접받아서 적용한 분들이나, 타 언어의 경우 FCKeditor의 홈페이지를 참조하시길 바랍니다. CF8에 FCKeditor를 내장할 때 부터 업데이트는 어케하지 했는데.. 그게 문제가 드디어 불거졌군요. 참고로 CF8의 FCKeditor의 경로는 {CF8설치디렉토리}/CFIDE/scripts/ajax/FCKeditor/ 에 있습니다. 사실 수동으로 업데이트해줘도 됩니다. FCKEditor 홈페이지에서 직접 받아서 적절히 압축 풀어주고, 환경설정만 맞춰주면 됩니다.

관련뉴스 : http://www.boannews.com/media/view.asp?idx=16955&kind=1
참조 : FCKEditor - http://www.fckeditor.net/

SecureCFM은 크로스사이트 스크립팅 취약점(XSS공격)에 대한 소스 수정을 도와주는 작은 유틸리티입니다. 다운로드 받은 파일의 압출을 풀고 SecureCFM.exe를 실행하여 *.cfm이나 폴더를 지정하여 점검할 수 있습니다. 점검시 XSS 공격에 취약한 위험부분을 Line번호로 알려주어 개발자가 쉽게 수정할 수 있도록 도와줍니다. 나온지는 꽤 된 툴입니다만 간단하게 XSS공격 취약점을 미리 찾아 볼 수 있습니다.

http://sourceforge.net/projects/scfm/

Download : SecureCFM-1.1.zip