Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보TrueOnline Router Remote Command Excution 취약점
작성일 2017-02-21 조회 1082

1. 개요

TureOnline은 ZyXEL 및 Billon 라우터를 고객에게 배포하는 태국의 ISP 기업이다.

ZyXEL P660HN-T1A v1, ZyXEL P660HN-T1A v2 및 Billion 5200W-T의 세 가지 라우터 모델은 루트권한으로 실행이 가능한 커맨드 인젝션 취약점과 디폴트 관리자 계정이 존재한다.

위 세 가지 라우터는 현재 태국에서 광범위하게 사용되고 있으며 Billion 5200W-T 모델은 신규 고객들에게 배포되고 있다.

 

2. 분석 내용

1) ZyXEL P660HN-T1A v1

ZyXEL P660HN-T1A v1에 Remote Command Injection 취약점이 존재하는데, 이 기기의 취약점은 Maintenance > Logs > System Log > Remote System Log의 전달 함수에 존재한다.

ViewLog.asp에는 인증되지 않은 상태로 액세스가 가능하다. 커맨드 인젝션은 remote_host가 매개변수를 전달할 때 발생한다.

공격 성공 시 공격자의 임의의 코드를 실행할 수 있다.


Proof of Code

remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&remote_host=;utelnetd -l /bin/sh -p 9999 -d;#&remoteSubmit=Save


2)ZyXEL P660HN-T1A v2

ZyXEL P660HN-T1A v2에 Remote Command Injection 취약점이 존재한다.

해당 취약점은 syslog원격 전달을 설정하는 logSet.asp에 존재하며 커맨드 인젝션이 가능한 매개변수는 serverIP이다. 인증된 사용자만 공격이 가능하고 실제 인젝션은 28자 문자만 가능하다, 하지만 /tmp 디렉토리에 한 번에 28문자 씩 쉘 스크립트 언어를 작성함으로써 이를 회피 할 수 있다.

공격 성공 시 공격자의 임의의 코드를 실행할 수 있다.


Proof of Code

logSetting_H = 1 & active = 1 & logMode = LocalAndRemote & serverIP = 1.1.1.1`utelnetd -c 3 1.1.1.1` % 26 % 23 & serverPort = 514


3)Billion 5200W-T

Billion 5200W-T에 Remote Command Injection 취약점이 존재한다.

해당 취약점은 원격 syslog를 설정하는데 사용되는 adv_remotelog.asp 페이지에 존재한다. 커맨드 인젝션은 syslogServerAddr가 매개변수를 전달할 때 유효한 IP주소 입력 후 ";<command>;"를 입력할 때 발생한다.

 

공격 성공 시 공격자의 임의의 코드를 실행할 수 있다.


Proof of Code

RemotelogEnable=1&syslogServerAddr=1.1.1.1;utelnetd -l /bin/sh -p 9090 -d;#&serverPort=514


4)디폴트 관리자 계정 및 비밀번호 List

①ZyXEL P660HN-T1A v1

username :admin pwd: password

username :true  pwd: true

username :admin pwd: password

②ZyXEL P660HN-T1A v2

username :admin pwd: password

username :true  pwd: true

username :supervisor pwd: zyad1234

③Billion 5200W-T

username :admin pwd: password

username :true  pwd: true

username :user3  pwd: 12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678

 

3. 정리

태국에서 광범위하게 사용되고 있는 라우터의 취약점에 대해 분석해보았다. 공격자는 간단한 스크립트로 특정 명령어를 실행할 수 있어 심각한 취약점이라 판단된다. 그리고 관리자 계정의 비밀번호 변경 없이 사용한다면 이 또한 쉽게 취약점에 노출이 된다.

라우터의 감염으로 인한 2차 피해를 막기 위해서 취약한 버전의 기기를 신속하게 업데이트할 것은 권고하며 관리자 계정의 비밀번호는 항상 기본값이 아닌 사용자가 변경하여 사용하도록 한다.

 

[취약한 버전]

ZyXEL P660HN-T1A v1

ZyXEL P660HN-T1A v2

Billion 5200W-T

CVSSv3 Score : 9.4 (P660HN-T1A v2 : 6.7)

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L

 

4.대응 방안

1)해당 벤더사의 권고사항을 참조하여 엡데이트한다.

-https://www.zyxel.com/homepage.shtml

2)신뢰할 수 없는 클라이언트가 라우터에 연결되는 것을 허용하지 않는다.

3)관리자 계정의 비밀번호는 기본 값을 사용하지 않고 변경하여 사용한다.

 

5. 참고

http://seclists.org/fulldisclosure/2017/Jan/40

https://raw.githubusercontent.com/pedrib/PoC/master/advisories/zyxel_trueonline.txt

https://blogs.securiteam.com/index.php/archives/2910

 

첨부파일 첨부파일이 없습니다.
태그 태국 TrueOnline 라우터 router ZyXEL p660HN Billion 5200w