Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향D-Link 무선공유기 취약점 스캔 지속 탐지
작성일 2016-12-20 조회 3383

1. 개요

D-Link DIR-600, DIR-300 Home Router 장비(무선공유기) 에서 원격코드실행 취약점을 확인하였다.

이 취약점은 인증 없이 command.php 파일에 접근이 가능하여 발생한다.

취약버전 : DIR-600 2.14b01 이하, DIR-300 rev B2.13 이하

 

2. 공격 패킷 확인 내역

해당 취약점에 대해 공개된 POC를 이용하여 패킷을 확인하였다.

- command.php 파일을 요청하면서 cmd 변수에 "cat var/passwd" 명령어를 통해 관리자 암호를 알아낸다.

 

[그림1. POC를 이용하여 확인 한 패킷 내역]

 

[그림2. 허니넷에서 확인한 지속적인 Scan 시도 내역]

 

3. 정리

IoT 기기에 대한 보안이 중요해지고 있는 만큼, 무선 공유기에 대한 보안 역시 매우 중요하다.

취약버전의 경우 cmd 명령어 실행이 가능한 command.php 파일에 대한 인증이 존재하지 않는다.

이로 인해 간단하게 command 명령어 실행 및 shell 획득까지 가능하다.

해당 취약점을 이용한 여러 Scanner의 존재를 확인하였고 지속적으로 브라질 IP 에서 Scan 시도가 확인되고 있다.

공유기 사용시에는 최신버전의 펌웨어로 업데이트가 필수 적이다.

 

4. 대응 방안

1) 최신버전의 펌웨어로 업데이트 한다.

 

2) Sniper IPS에서는 아래와 같은 패턴으로 대응이 가능하다.

[IPS 패턴 블럭] : 3353, D-Link command.php RCE
[IPS 패턴 블럭] : 3354, D-Link command.php RCE(8080)
[IPS 패턴 블럭] : 3355, D-Link command.php RCE.A
[IPS 패턴 블럭] : 3356, D-Link command.php RCE.A(8080)

 

5. 참고

https://www.rapid7.com/db/modules/auxiliary/admin/http/dlink_dir_300_600_exec_noauth

http://www.s3cur1ty.de/m1adv2013-003

https://github.com/jh00nbr/Routerhunter-2.0

첨부파일 첨부파일이 없습니다.
태그 D-Link  공유기  RCE  DIR-600  DIR-300