Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보HPE iLo 취약점을 이용한 랜섬웨어 해프닝, 하지만 시작에 불과하다.
작성일 2018-05-15 조회 700

 

 

 

 

 

 

2018년 5월, 한 트위터를 통해 랜섬노트가 공개되었습니다. 그 랜섬노트는 윈도우나 Linux 처럼 OS가 아닌 HP에서 제공하는 'iLO' 라는 서버 관리 기술 소프트웨어입니다. 

 

 

iLO(Integrated Lights-Out)란?

 

HP에서 만든 독자적 임베디드 서버 관리 기술로서, 서버의 기본 네트워크 인터페이스 외의 물리적 이더넷 포트를 이용하여 원격지에서 HP 서버의 활동을 수행할 수 있게 해주는 관리 기술입니다.

 

 

 

 

 

 " HP iLo 메인 페이지에 랜섬노트가 생성되었다, 혹시 이전에 본 사람 있습니까? "

- 트위터 글 中 -

 

[그림] iLo 메인의 랜섬노트 (출처: https://twitter.com/M_Shahpasandi)

 

 

 

 

현재 KISA에서도 해당 사항에 대한 보안공지를 통해 추가적인 피해를 방지하기 위해 노력을 하고 있습니다.

 

[그림] KISA 공지사항

 

 

 

 

아직 다행인 것은 실제 랜섬웨어 행위에 피해를 입은 피해자가 없으며, 이번 공격은 공지사항을 랜섬웨어가 감염된 것처럼 랜섬노트만 띄워놓은 것으로 판단하고 있습니다.

 

 

 

그럼 이 공격자는 과연 어떻게 iLo 내부로 들어왔을까요. 혹은 어떤 방식으로 관리자의 권한을 획득했을까요?

그 실마리는 해당 트위터 게시글 댓글에서 확인할 수 있었습니다.

 

 

[그림] 해당 악성코드 관련 CVE (출처: https://twitter.com/OVollmer)

 

 

 

 

CVE-2017-12542 취약점이란?

 

2.53 이전의 HPE Integrated Lights-out 4 (iLO 4) 버전의 인증 우회 및 코드 취약점 실행이 가능한 취약점

 

 

[그림] CVE-2017-12542 취약점 설명

 

 

 

CVE-2017-12542 취약점의 PoC 코드를 살펴보면 트리거 및 공격 방식에 대해 확인할 수 있습니다.

 

 

취약점을 활용하여 계정 생성을 할 수 있는 페이지에서 트리거를 발생시킵니다.

 

http://[Servcer_IP]/rest/v1/AccountService/Accounts

 

 

 

Header 헤더 내 'Connection' 에 29byte 문자열을 삽입하여 전송하면 취약점이 트리거 되어 계정 생성 시 사용자의 인증을 거치지 않게 됩니다. 

 

[그림] 트리거 및 URL

 

 

 

POST Request Method를 통해 계정을 생성하는 Payload를 전송하면 인증 없이 관리자 계정을 생성할 수 있습니다.

 

[그림] 계정 생성

 

 

 

PoC 기반 코드를 실행하면 아래와 같은 패킷을 확인할 수 있습니다.

 

[그림] PoC 코드 실행

 

 

 

KISA 및 외신에서는 대응 방안으로 외부 인터넷을 통한 iLo 접속을 차단하고 VPN을 통한 접속만 가능하도록 설정하라고 권고합니다. 또한, 해당 취약점은 2.53 버전 이하에서 발생하는 취약점이기 때문에 최신 소프트웨어로 업데이트 시 취약점을 차단할 수 있다고 말합니다.

 

하지만, 안타깝게도 많은 iLo 서버가 공격자들에게 기회를 주고 있다는 현실입니다.

 

발견된 것이 랜섬웨어 감염처럼 보이는 랜섬노트가 시작이었지만, 이러한 취약점은 랜섬웨어보다 더 큰 사고를 불러 일으킬 수 있다는 점 명심해야 할 것 같습니다.

 

 

[그림] 전 세계 취약한 iLo 서버

 

 

 

 

 

Source

https://github.com/skelsec/CVE-2017-12542
https://twitter.com/M_Shahpasandi/status/98915728379916288
https://4hou.win/wordpress/?cat=4453

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-12542  iLo  Ransomware