TP-Link TL-WR840N EU에 RCE(Remote Code Execution) 취약점이 존재합니다.

 

해당 취약점은 /cgi?2 경로의 host 파라미터에 대한 부적절한 유효성 검사로 인해 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있습니다.

 

공격 성공 시, 임의의 코드가 실행될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2021-41653

CVSS v2.0 Severity and Metrics:

Base Score: 10.0 HIGH

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

MANGA 또는 Dark로 불리는 Mirai 기반 봇넷 캠페인의 새로운 변종이 이용하는 취약점입니다.

 

아래 화면의 사용자 입력값은 서버 측에서 검사되지 않고 PING 명령을 실행하는 데 사용됩니다. 이 중 IP address/Domain name 파라미터에 명령어를 입력해 공격이 가능합니다.

 

 

 

 

[ 그림 2. 취약한 매개 변수 입력 화면 ]

(그림 출처) https://k4m1ll0.com/cve-2021-41653.html

 

 

 

클라이언트 측에서 자바스크립트 보호를 사용하지만, 이는 프록시로 우회가 가능합니다.

 

 

 

 

[ 그림 3. 자바스크립트 보호 알림 ]

(그림 출처) https://k4m1ll0.com/cve-2021-41653.html

공격 분석 및 테스트

 

CVE-2021-41653의 공격 패킷은 다음과 같습니다.

 

 

 

[그림 4. 취약한 패킷]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 최신 버전으로 업데이트한다.

https://www.tp-link.com/kr/support/download/tl-wr840n/v5/

2. WINS Sniper 제품군 대응 방안