[CVE-2019-12725] Zeroshell kerbynet x509type RCE 침해사고분석팀 2020.12.11 |
|
Zeroshell에 원격 코드 실행 취약점이 존재합니다.
ZeroShell은 서버 및 임베디드 시스템의 LAN 구성을 위한 라우팅 및 방화벽 기능을 하는 소규모 오픈 소스 리눅스 배포판 입니다.
웹 기반 그래픽 인터페이스로 관리가 가능하며, 이를 구성하는 데 쉘을 필요로 하지 않습니다.
해당 취약점은 kerbynet 페이지 내 x509type 매개변수의 입력값 검증 부족으로 인해 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격 할 수 있습니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2019-12725 CVSS v2.0 Severity and Metrics: Base Score: 10.0 HIGH
[그림1. NVD 내역]
취약점 분석
취약한 버전은 다음과 같습니다.
ZeroShell 3.9.0 이하
ZeroShell은 Openssl 기반의 X.509인증 기관 역할을 수행하는데, 이를 위해 사용되는 매개변수중 하나인 x509type에서 취약점이 발생합니다.
[그림 2. ZeroShell 웹 인터페이스]
공격 분석
CVE-2019-12725는 다음과 같은 형태로 공격이 이루어집니다.
[keksec.x86 바이너리 분석] https://www.hybrid-analysis.com/sample/449ba3c57d56a0a9cf3dfa3a5d7f3624641dfdad6d7d0b73ff8df7e61107e3f0/5fbfad91a74f88445711f313
[그림3. 공격 패킷]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사의 홈페이지를 참고하여 최신의 버전으로 업데이트 합니다.
https://zeroshell.org/new-release-and-critical-vulnerability/
https://zeroshell.org/download/
2. WINS Sniper 제품군 대응 방안
Zeroshell kerbynet x509type RCE
|