본문 바로가기
인프라 진단/전자금융기반시설(서버) - WebtoB

SRV-045 (WebtoB) 웹 서비스 프로세스 권한 제한 미비

by 49 BLOCK 2024. 1. 2.

notice

SRV-045 (WebtoB) 웹 서비스 프로세스 권한 제한 미비

【 상세설명 】
웹 서버에 대한 요청을 처리하는 프로세스의 권한을 제한하지 않을 경우, 취약점 존재 시 공격자가 해당 서버의 높은 권한을 획득 가능한 위협이 존재함. 웹 서버 요청을 처리하는 프로세스 권한이 적절하게 설정되어 있는지 여부를 점검

【 판단기준 】
- 양호 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 적절하게 설정되어 있을 경우
- 취약 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 관리자 권한으로 설정된 경우

【 판단방법 】
  ■ Linux, AIX, HP-UX, SOLARIS
  1. 웹 서비스의 요청 처리 프로세스의 실행 계정과 그룹이 관리자 계정, 그룹이 아닌 웹 서비스 프로세스 전용   실행 계정, 그룹인지 확인
      ※ Default 웹 서비스 프로세스 전용 실행 계정(그룹) : "nobody”
      ※ Unix/Linux 버전에 따라 "nobody" 계정의 그룹이 "nogroup" 인 경우도 있으므로 "/etc/group" 파일 확인 필요
  2. 웹 서비스 프로세스 전용 실행 계정의 Shell 로그인 제한 설정(/bin/false, /sbin/nologin) 확인

      #  ps -ef | egrep "webtob|wsm|htl|hth|htmls|phps|cgis|ssis"
          root    8258    1  0 Dec01 ?    00:00:00 wsm -l 0x2 -I webtob1_8257 -b 8257
          root    8259    1  0 Dec01 ?    00:00:00 htl -l 0x2 -I webtob1_8257 -b 8257
          root    8260    1  0 Dec01 ?    00:00:00 hth -l 0x2 -I webtob1_8257 -b 8257
          nobody    8261    1  0 Dec01 ?    00:00:00 cgis -l 0x2 -I webtob1_8257 -b 8257 -s cgi
          nobody    8262    1  0 Dec01 ?    00:00:00 cgis -l 0x2 -I webtob1_8257 -b 8257 -s cgi
          nobody    8263    1  0 Dec01 ?    00:00:00 ssis -l 0x2 -I webtob1_8257 -b 8257 -s ssi
          nobody    8264    1  0 Dec01 ?    00:00:00 ssis -l 0x2 -I webtob1_8257 -b 8257 -s ssi

      # cat /etc/passwd | grep "nobody"
          nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

  ■ Windows : WebtoB 를 윈도우 서비스로 등록한 경우에만 확인 및 설정 가능
  1. 시작 > 실행(Win+R) > services.msc > 서비스
  2. "WebtoB" 서비스에서 "다음 사용자로 로그온" 설정 확인("Local System" 또는 관리자 계정으로 설정되어 있는 경우 "취약")
  ※ WebtoB 를 서비스로 실행하는 경우에만 적용되는 설정(cmd 로 실행하는 경우 "Local System" 계정으로 웹 서비스 실행)

SRV-045-WebtoB-01
SRV-045-WebtoB-02


※ WebtoB 프로세스
    - WSM(WebtoB System Manager) : 전체적인 WebtoB 시스템의 운용 프로세스로써 시스템의 운영 정보를 관리하고, HTL/HTH 프로세스 및 모든 서버 프로세스들을 관리하는 프로세스
    - HTL(HTTP Listener) : HTL은 클라이언트와 WebtoB 간의 연결을 관리하는 Listener 프로세스
    - HTH(HTTP Handler) : 클라이언트 핸들러라고도 하며 실질적으로 클라이언트와 서버의 업무 처리 프로세스 사이를 중계하는
프로세스
    - HTMLS(HTML Server) : HTML 요청을 처리하는 HTML 서버 프로세스
    - PHPS(PHP Server) : PHP 요청을 처리하는 PHP 서버 프로세스
    - CGIS(CGI Server) : CGI 요청을 처리하는 CGI 서버 프로세스
    - SSIS(SSI Server) : SSI 요청을 처리하는 SSI 서버 프로세스

【 조치방법 】
  1. (신규 계정 설정 시) 웹 서비스 프로세스 전용 실행 계정 Shell사용 제한(/bin/false, /sbin/nologin) 설정
      ※ Default 웹 서비스 프로세스 전용 실행 계정(그룹) 사용 권장
      ※ nobody 계정이 없는 경우 신규 계정을 생성하여 "/sbin/nologin(또는 /bin/false)" 설정 후 사용
  2. 웹 서비스 설정 파일에서 웹 서비스 프로세스 전용 실행 계정, 그룹  변경
  3. WebtoB 설정 파일 재컴파일
  4. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)

저작자표시 비영리

'인프라 진단 > 전자금융기반시설(서버) - WebtoB' 카테고리의 다른 글

SRV-046 (WebtoB) 웹 서비스 경로 설정 미흡  (0) 2024.01.02
SRV-044 (WebtoB) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정  (0) 2024.01.02
SRV-043 (WebtoB) 웹 서비스 경로 내 불필요한 파일 존재  (0) 2024.01.02

관련글

티스토리툴바