Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2020-10221] rConfig ajaxAddTemplate.php RCE
작성일 2020-10-15 조회 154

 

 

rConfig 3.9.4 이하의 버전에서 RCE(Remote Code Execution) 취약점이 존재합니다.
 
rConfig는 무료 오픈소스 네트워크 기기 구성 관리 유틸리티로, rConfig에 따르면 전 세계적으로 330만대 이상의 장치를 관리하고 있으며 7,000명 이상의 활성 사용자를 보유하고 있습니다.
 
해당 취약점은 ajaxAddTemplate.php에서 filename 변수의 잘못된 유효성 검사로 인해 발생합니다.
 
공격 성공 시, 원격의 공격자는 악의적으로 조작된 요청을 전송해 임의의 코드를 실행시킬 수 있습니다.
 
 

 


취약점 설명

 

NVD - CVE-2020-10221

CVSS v2.0 Severity and Metrics:

Base Score:  8.8HIGH

 


 

[그림1. NVD 내역]

 

 

 


취약점 분석

 

해당 취약점은 lib/ajaxHandlers/ajaxAddTemplate.php 내에서 발생합니다.

 

ajaxAddTemplate.php 내 'filename' 매개변수에 대한 적절한 검증이 이루어지지 않기 때문입니다.

 

ajaxAddTemplate.php 파일의 #17-19번 라인에서 $filename 변수의 확장자가 yml인지 체크하고, yml이 아닌 경우 조작된 요청을 해당 변수에 저장합니다.

 

#22번 라인에서 변수 $fullpath에 조작된 요청이 저장된 $filename 변수를 추가합니다.

 

 

[그림2. lib/ajaxHandlers/ajaxAddTemplate.php 취약한 코드 중 일부]

 

 

#48번 라인에서 $filename 변수가 추가된 $fllepath 변수를 매개변수로 취해 시스템 함수 exec를 실행해 공격자는 RCE를 수행할 수 있습니다.

 

 

[그림3. lib/ajaxHandlers/ajaxAddTemplate.php 취약한 코드 중 일부]

 

 

 

공격 분석 및 테스트

 

 

CVE-2020-10221에 탐지되는 패킷은 다음과 같습니다.

 

공격 성공 시, filename 변수를 통해 ReverseShell을 실행시킬 수 있습니다.

 

 

 

[그림4. CVE-2020-10221 exploit 패킷]

 

 

 

 

[그림5. CVE-2020-10221 공격 성공]

 

 

 


취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.

 

https://rconfig.com/download

 

 

2. WINS Sniper 제품 군 대응 방안

 

*Sniper IPS

rConfig ajaxAddTemplate.php RCE

 

*Sniper UTM

rConfig ajaxAddTemplate.php RCE


*Sniper APTX

rConfig ajaxAddTemplate.php RCE
첨부파일 첨부파일이 없습니다.
태그 CVE-2020-10221  rConfig