보안 정보
-
보안 동향 ㅣ COVID-19 백신을 대상으로한 피싱 캠페인 성행
침해사고분석팀ㅣ2021.01.26
-
보안 동향 ㅣ 반복적인 포럼 해킹으로 IObit 조롱하는 랜섬웨어 조직
침해사고분석팀ㅣ2021.01.26
-
침해사고분석팀ㅣ2021.01.26
-
침해사고분석팀ㅣ2021.01.26
-
보안 동향 ㅣ 데이팅 사이트, 228만건의 개인정보 유출되다.
침해사고분석팀ㅣ2021.01.25
| 취약점 정보[CVE-2020-10221] rConfig ajaxAddTemplate.php RCE | ||||
| 작성일 | 2020-10-15 | 조회 | 154 | |
|---|---|---|---|---|
|
rConfig 3.9.4 이하의 버전에서 RCE(Remote Code Execution) 취약점이 존재합니다.
rConfig는 무료 오픈소스 네트워크 기기 구성 관리 유틸리티로, rConfig에 따르면 전 세계적으로 330만대 이상의 장치를 관리하고 있으며 7,000명 이상의 활성 사용자를 보유하고 있습니다.
해당 취약점은 ajaxAddTemplate.php에서 filename 변수의 잘못된 유효성 검사로 인해 발생합니다.
공격 성공 시, 원격의 공격자는 악의적으로 조작된 요청을 전송해 임의의 코드를 실행시킬 수 있습니다.
NVD - CVE-2020-10221 CVSS v2.0 Severity and Metrics: Base Score: 8.8HIGH
[그림1. NVD 내역]
해당 취약점은 lib/ajaxHandlers/ajaxAddTemplate.php 내에서 발생합니다.
ajaxAddTemplate.php 내 'filename' 매개변수에 대한 적절한 검증이 이루어지지 않기 때문입니다.
ajaxAddTemplate.php 파일의 #17-19번 라인에서 $filename 변수의 확장자가 yml인지 체크하고, yml이 아닌 경우 조작된 요청을 해당 변수에 저장합니다.
#22번 라인에서 변수 $fullpath에 조작된 요청이 저장된 $filename 변수를 추가합니다.
[그림2. lib/ajaxHandlers/ajaxAddTemplate.php 취약한 코드 중 일부]
#48번 라인에서 $filename 변수가 추가된 $fllepath 변수를 매개변수로 취해 시스템 함수 exec를 실행해 공격자는 RCE를 수행할 수 있습니다.
[그림3. lib/ajaxHandlers/ajaxAddTemplate.php 취약한 코드 중 일부]
공격 분석 및 테스트
CVE-2020-10221에 탐지되는 패킷은 다음과 같습니다.
공격 성공 시, filename 변수를 통해 ReverseShell을 실행시킬 수 있습니다.
[그림4. CVE-2020-10221 exploit 패킷]
[그림5. CVE-2020-10221 공격 성공]
1. 최신 버전 사용
해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.
https://rconfig.com/download
2. WINS Sniper 제품 군 대응 방안
*Sniper IPS rConfig ajaxAddTemplate.php RCE
*Sniper UTM rConfig ajaxAddTemplate.php RCE
rConfig ajaxAddTemplate.php RCE
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2020-10221 rConfig | |||
