RosarioSIS 6.7.2 저장형 교차 사이트 스크립팅(XSS) 취약점 발견, 긴급 대응 필요

RosarioSIS 6.7.2 저장형 교차 사이트 스크립팅(XSS) 취약점 발견

보안 연구진은 교육 기관에서 널리 사용되는 오픈소스 학생 정보 시스템 RosarioSIS 버전 6.7.2에서 저장형 교차 사이트 스크립팅(Stored XSS) 취약점을 발견했습니다. 이 취약점은 Exploit Database를 통해 공개되었으며, 공격자가 임의의 JavaScript 코드를 주입하고 무방비 상태의 사용자 브라우저에서 실행할 수 있게 합니다.

기술적 세부 사항

이 취약점은 RosarioSIS의 입력 값 검증 부재로 인해 발생합니다. 공격자는 사용자 제공 데이터를 저장하는 웹 애플리케이션 필드에 악성 스크립트를 삽입할 수 있으며, 다른 사용자가 해당 페이지를 열람할 때 스크립트가 브라우저에서 실행됩니다. 이로 인해 다음과 같은 위협이 발생할 수 있습니다:

• 세션 하이재킹(인증 쿠키 탈취)
• 가짜 로그인 프롬프트를 통한 자격 증명 탈취
• 웹사이트 변조 또는 악성 사이트로 리다이렉션
• 브라우저 기반 취약점 추가 악용

이 공격은 인증이 필요하지 않으며, 저장형(영구적) XSS 취약점으로 분류되어 페이로드가 수동으로 제거될 때까지 애플리케이션에 남아 있습니다.

영향 분석

RosarioSIS는 전 세계 교육 기관에서 학생 기록, 출석, 성적 관리에 사용됩니다. 성공적인 XSS 공격은 다음과 같은 피해를 초래할 수 있습니다:

• 학생 및 교직원의 민감한 데이터 유출
• 학교 운영 방해(기록 변조 또는 삭제)
• 네트워크 침투의 진입점으로 활용 가능

이 취약점은 낮은 공격 난이도와 높은 영향력으로 인해 관리자들에게 긴급한 문제로 인식되고 있습니다. 또한, 공개된 PoC(Proof-of-Concept) 코드로 인해 공격 난이도가 더욱 낮아졌습니다.

권장 조치 사항

1. 즉각적인 패치 적용: RosarioSIS 최신 버전으로 업그레이드하세요. 공식 저장소에서 업데이트를 모니터링하세요.
2. 임시 완화 조치:
   • **웹 애플리케이션 방화벽(WAF)**을 도입하여 악성 페이로드 필터링
   • 민감한 필드에 대한 쓰기 권한을 신뢰할 수 있는 사용자로 제한
   • 저장된 데이터에 삽입된 스크립트 철저 점검
3. 사용자 인식 교육: 교직원 및 학생을 대상으로 피싱 시도나 의심스러운 링크 인식 교육 실시 (XSS 공격은 사회 공학적 기법에 의존하는 경우가 많음)

보안 팀은 데이터 유출 및 내부 네트워크 이동 가능성을 고려해 이 취약점을 최우선으로 대응해야 합니다. 비정상적인 스크립트 실행이나 무단 접근 시도 등 의심스러운 활동을 모니터링하세요.