|
[CVE-2020-35476] OpenTSDB RCE 침해사고분석팀 2021.01.08 |
|
|
OpenTSDB에 원격 코드 실행 취약점이 존재합니다.
OpenTSDB는 분산되고 확장 가능하며 컴퓨터 시스템(네트워크 기어, 운영 체제, 애플리케이션)에서 수집된 메트릭스를 대규모로 저장, 인덱싱 및 서비스할 수 있는 시계열 데이터베이스 (TSDB) 무료 소프트웨어입니다.
해당 취약점은 yrange 매개 변수에 명령 삽입으로 인해 gnuplot 파일이 생성되어 발생합니다. 원격의 공격자는 악의적으로 조작한 요청을 전송하여 공격할 수 있습니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2020-35476 CVSS v2.0 Severity and Metrics: Base Score: 7.5 MEDIUM
[그림1. NVD 내역]
취약점 분석
해당 취약점은 yrange 매개 변수에 명령어를 통해 OpenTSDB에서 원격 코드 실행 취약점이 발생합니다.
yrange 값은 /tmp 디렉터리의 gnuplot 파일에 기록되며, 해당 파일은 mygnuplot.sh 쉘 스크립트를 통해 실행됩니다.
취약한 버전은 2.4.0 및 이전 버전들이며 제조사에서 발표한 패치 사항은 없습니다.
공격 분석 및 테스트
CVE-2020-35476의 공격 패킷은 다음과 같습니다.
[그림2. 취약한 부분]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사에서 발표한 최신의 버전으로 업데이트한다. https://github.com/OpenTSDB/opentsdb/releases
2. WINS Sniper 제품군 대응 방안
[5319] OpenTSDB GraphHandler yrange RCE
|
