본문 바로가기
보안/보안관제

제로보드 취약점

SC_Jun 2020. 2. 23. 23:10

제로보드란 무엇인가?

제로보드(Zeroboard)는 고영수가 개발한 홈페이지용 전자 게시판(BBS) 소프트웨어 또는 프레임워크이다.
PHP 언어로 쓰여졌다. 1999년 말에 버전 1이 처음으로 배포되었고, 2001년 초에 버전 4가, 2002년 초에 버전 4.1이 발표되었다.

제로보드의 개발 당시 대한민국 인터넷에서는 CGI 기반의 스크립트와 게시판 호스팅 서비스가 주로 사용되고 있었으나, CGI 방식의 한계점 때문에 PHP와 같은 서버 측 스크립트 언어를 사용한 게시판 프로그램에 대한 필요성이 대두되고 있었고 실제로 비슷한 소프트웨어가 많이 개발, 출시되고 있었다. 그러나 제로보드, 특히 제로보드4는 자유로운 스킨 방식 및 회원관리 기능과 같은 여러 특화된 기능을 제공해 상당한 사용자를 확보했고, 대한민국에서 PHP 기반 BBS의 대명사가 될 정도로 성장했다. 제로보드를 기반으로 한 쇼핑몰과 같은 다양한 응용이 등장하기도 했다. 그러나 제로보드4.1 이후 개발자의 개인 사정으로 개발이 계속 지연되면서 여러 문제점이 제기되기 시작했다. 일부 사용자가 비공식적으로 보안 패치를 제공했었지만 현재는 중단되었다.

제로보드4의 문제점

    1. 보안에 취약한 구조 - 최신 보안패치를 적용하지 않거나 퍼미션 설정을 잘못 해두면 외부에서 악성코드를 삽입시키거나 Injection을 발생시킬수 있다. 또한 스킨 구조의 특성상 취약한 스킨을 통한 크래킹 사고가 빈번하였다.
    2. 회원가입시 주민등록번호를 통한 중복 가입 방지 기능이 내장되어 있어 개인정보 수집을 장려한다는 비판을 받았다. 이 기능은 기본적으로 활성화되어 있지는 않지만, 제로보드4로 제작된 홈페이지들은 이 기능을 켜놓는 경우가 많았다. 개인정보수집법이 변경되면서 주민번호 수집이 금지되자, 제로보드4 기반의 홈페이지들은 대부분 이 기능을 사용 중지시켰다.
    3. 발 당시 웹 표준을 고려하지 않았기 때문에 인터넷 익스플로러 10 이상이나 타사 웹 브라우저에서는 스킨에 따라서 레이아웃이 잘못 표시되고 일부 기능이 정상적으로 동작하지 않는다. DTD 선언이 아예 존재하지 않기 때문에 제로보드를 사용한 게시판들은 구성 파일들을 웹 표준 코드로 수정하지 않는한 쿼크 모드로 표시된다.
    4. 제로보드4에는 ereg와 같은 함수들이 사용되었는데, 이러한 함수들은 php5.3부터 사용이 불가능하다. 제로보드4를 php5.3 이상에서 정상적으로 구동시키려면 이러한 함수들을 preg_replace등의 대체 함수로 수정하는 과정이 필요하다.
    5. 폐쇄적인 라이선스 정책도 비판받았으나, 2008년 3월 18일 라이선스 정책을 다음과 같이 변경하였다.

 

    • 제로보드4의 기본 프로그램, 즉 공식사이트에서 배포되는 프로그램에는 변경 사항이 없다.
    • 단 제로보드4의 저작권 문구중 Zeroboard는 삭제 가능하도록 공지한다.
    • 스킨 제작자에게 허락을 받거나 본인의 자작 스킨이라면 저작권 문구 전체를 삭제해도 된다.
    • 제로보드4의 재배포도 허락한다. 단, 제로보드4의 파생품을 만들어서 배포하는 경우, 제로보드라는 명칭을 쓰지 않을것을 권장한다.

제로보드5

제로보드5(zb5)는 제로보드4의 후속 버전이다. 고영수는 제로보드4 기반이 아닌 완전히 새로운 프로젝트로 zb5를 개발하려고 했으나, 베타 버전인 0.0.5를 공개한 시점에서 개발을 중지하고 새로운 프로젝트를 처음부터 다시 시작한다고 선언한다.
현재 zb5는 개발이 중지되고 소스가 GPL 아래 공개되어 있으며, 배포 및 사용자 간 커뮤니케이션이 중단된 상태이다. zb5는 개발이 중단되었지만 XpressEngine 제작의 토대가 되었다는 큰 의미가 있다.

 

 

- 국내 PHP 기반의 공개 웹 게시판 제로보드에서 XSS, CSRF 및 RFI 취약점이 발견되었으며, 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위험이 발생함에 따라 버전 패치가 요구된다.

-  제로보드의 취약점은 XE로 변경되면서도 XSS, CSRF 공격이 유지되고 있으며 XE에서 여전히 시스템 권한을 장악할 수 있는 취약점이 존재하고 있다. 

- XE 관리자 페이지에서 제공되는 레이아웃 수정 메뉴에서 PHP 코드 실행이 가능한 문제점이 존재하며, Ajax를 활용한 단 한번의 XSS 공격으로 인하여 관리자 권한까지 흭득 가능하다.

- 제로보드 홈페이지는 취약점이 많이 보존되고 있으므로 해커들이 악의적인 행위를 하는 사이트로 많이 사용되기도 한다.

 

 

참고자료 - 위키백과

 

https://ghostshell.tistory.com/173

 

https://www.dailysecu.com/news/articleView.html?idxno=1854

'보안 > 보안관제' 카테고리의 다른 글

msfvenom으로 제작된 ShellCode base64로 디버그 방법  (0) 2020.09.05
FCKeditor 취약점 조사 및 탐지 패턴  (2) 2020.01.30
ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062)  (0) 2020.01.29
IDS/IPS 이해  (0) 2020.01.26
IDS/IPS의 차이점  (2) 2020.01.26

'보안/보안관제' Related Articles

티스토리툴바