Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2016-6277] NETGEAR cgi-bin RCE 분석
작성일 2017-03-16 조회 1100

 
1. 개요
NETGEAR R6400, R7000, R8000 Router 장비(무선공유기)에서 원격코드 실행 취약점이 존재한다.
이 취약점은 인증되지 않은 웹페이지에 대한 특정 입력이 인터페이스로 전달되면서 발생한다.
공격 성공시, 공격자의 임의의 코드를 실행할 수 있다
취약버전 : NetGear R8000 1.0.3.4_1.1.2, NetGear R7000 1.0.7.2_1.1.93, NetGear R6400 1.0.1.6_1.0.4
 
2. 확인 내역
US-CERT 에서 NETGEAR 제품에 대한 원격 코드 실행 취약점에 대해 공지하였다.
부적절한 명령어가 필터링 없이 cgi_system에 전달 되어 발생한다.
실제 펌웨어 업데이트 내역을 확인하면 ; , ` , $ , .. 문자열을 필터링하는 구문이 추가 되었다.
 
[그림1. 펌웨어 업데이트 내역]
 
[그림2. POC 내역(ExploitDB)]
 
[그림3. US-CERT 공지 내역]
 
3. 정리
본 게시글에서 NETGEAR Router 장비(무선공유기)에서 원격코드 실행 취약점에 대해 알아보았다.
간단한 구문으로 원격코드실행이 가능하여 스캔형태의 공격이 지속되고 있다.
지속적으로 취약버전이 추가 확인되고 있으므로 주의가 필요하다.
현재 벤더사에서 공개한 임시 펌웨어로 업데이트를 권고한다.
 
4. 대응 방안
1) 라우터의 웹서버 프로세스를 종료 한다.
- 웹서버 프로세스 종료시 라우터 재기동 이전까지 라우터 웹관리 사용 불가
- http://[router-address]/cgi-bin/;killall$IFS'httpd'
 
2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.
[IPS WEBCGI] : 5921, NETGEAR cgi-bin RCE

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 
5. 참고
http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/
https://www.exploit-db.com/exploits/41598/
https://www.kb.cert.org/vuls/id/582384
http://kb.netgear.com/000036386/CVE-2016-582384?cid=wmt_netgear_organic
https://github.com/rapid7/metasploit-framework/issues/7698
첨부파일 첨부파일이 없습니다.
태그 CVE-2016-6277  cgi-bin  NETGEAR  공유기