Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2020-8947] Artica Pandora FMS RCE
작성일 2020-10-23 조회 88

 

 

Artica Pandora FMS 7.0 버전에 RCE(Remote Code Execution) 취약점이 존재합니다.
 
Pandora FMS는 방화벽, 프록시, 데이터베이스, 웹 서버 또는 라우터와 같은 다양한 운영체제, 서버, 응용프로그램 및 하드웨어 시스템에서 여러 매개 변수의 상태 및 성능을 시각적으로 모니터링 할 수 있는 소프트웨어입니다.
 
해당 취약점은 functions_netflow.php에서 ip_dst, dst_port, src_port 변수의 부적절한 유효성 검사로 인해 일어납니다.
 
공격 성공 시, 원격의 공격자는 악의적으로 조작된 요청을 전송하여 임의의 코드를 실행시킬 수 있습니다.

 

 

 


취약점 설명

 

NVD - CVE-2020-8947

CVSS v2.0 Severity and Metrics:

Base Score:  9.0 HIGH

 


 

[그림1. NVD 내역]

 

 

 


취약점 분석

 

해당 취약점은 functions_netflow.php내에서 발생합니다.

functions_netflow.php내 ip_dst, dst_port, src_port 변수에 대한 적절한 검증이 이루어지지 않기 때문입니다.

 

 

functions_netflow.php 파일의 netflow_get_filter_arguments 함수에서 

#931번 라인의 변수 ip_dst에 입력된 값이 $filter_args 값으로 반환되는 것을 확인할 수 있습니다.

 

 

[그림2. netflow_get_filter_arguments 함수 중 일부]

 

 

 

#1016번 라인의 netflow_get_filter_arguments 함수 끝에서 $filter_args 변수에 " 문자를 추가하는 것을 확인할 수 있습니다.

 

 

[그림3. netflow_get_filter_arguments 함수 중 일부]

 

 

 

ip_dst 변수에 큰 따옴표(") 를 임의로 닫는 명령어 입력 시,

#648 라인에서 시스템 함수 exec를 실행해 공격자는 RCE 공격을 수행할 수 있습니다.

 

 

[그림4. functions_netflow.php 파일 취약한 코드 일부]

 

 

 

[그림5. CVE-2020-8947 PoC Payload]

 

 

 

공격 분석 및 테스트

 

 

CVE-2020-8947에 탐지되는 패킷은 다음과 같습니다.

공격 성공 시, ip_dst 값에 ";(%22%3B)를 입력해 큰 따옴표를 임의로 닫은 후

nc -e/bin/sh 를 입력해 ReverseShell을 실행시킬 수 있습니다

 

 

[그림6. CVE-2020-8947 exploit 패킷]

 

 

 

 

[그림7. CVE-2020-8947 공격 성공]

 

 

 


취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.

https://pandorafms.org/

 

 

2. WINS Sniper 제품군 대응 방안

 

Artica Pandora FMS functions_netflow.php RCE

 

첨부파일 첨부파일이 없습니다.
태그 Artica  Pandora FMS  CVE-2020-8947