보안정보

글로벌 정보보안 리더 윈스

[CVE-2019-12725] Zeroshell kerbynet x509type RCE

침해사고분석팀 2020.12.11

Zeroshell | Varia-Store

 

Zeroshell에 원격 코드 실행 취약점이 존재합니다.

 

ZeroShell은 서버 및 임베디드 시스템의 LAN 구성을 위한 라우팅 및 방화벽 기능을 하는 소규모 오픈 소스 리눅스 배포판 입니다.

 

웹 기반 그래픽 인터페이스로 관리가 가능하며, 이를 구성하는 데 쉘을 필요로 하지 않습니다.

 

해당 취약점은 kerbynet 페이지 내 x509type 매개변수의 입력값 검증 부족으로 인해 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격 할 수 있습니다.

 

공격 성공 시, 임의의 코드가 실행될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2019-12725

CVSS v2.0 Severity and Metrics:

Base Score: 10.0 HIGH

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

취약한 버전은 다음과 같습니다.

 

ZeroShell 3.9.0 이하

 

ZeroShell은 Openssl 기반의 X.509인증 기관 역할을 수행하는데, 이를 위해 사용되는 매개변수중 하나인 x509type에서 취약점이 발생합니다.

 

 

Zeroshell Web Interface

[그림 2. ZeroShell 웹 인터페이스]

 

공격 분석

 

 

CVE-2019-12725는 다음과 같은 형태로 공격이 이루어집니다.

 

 

  
x509type 매개변수의 값으로 '(싱글 쿼터 문자)로 시작하는 명령어를 전송하여 keksec.x86 ELF파일을 다운로드 하고 실행시킵니다.

 

[keksec.x86 바이너리 분석] https://www.hybrid-analysis.com/sample/449ba3c57d56a0a9cf3dfa3a5d7f3624641dfdad6d7d0b73ff8df7e61107e3f0/5fbfad91a74f88445711f313

 

[그림3. 공격 패킷]

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사의 홈페이지를 참고하여 최신의 버전으로 업데이트 합니다.

 

https://zeroshell.org/new-release-and-critical-vulnerability/

 

https://zeroshell.org/download/

 

 

2. WINS Sniper 제품군 대응 방안

 

Zeroshell kerbynet x509type RCE