|
[CVE-2021-26814] Wazuh Directory Traversal 침해사고분석팀 2021.05.31 |
|
|
Wazuh에 Directory Traversal 취약점이 존재합니다.
Wazuh는 위협 감지, 무결성 모니터링, 사고 대응 및 규정 준수를 위한 무료 오픈소스 보안 모니터링 솔루션입니다.
해당 취약점은 manager/files API 처리를 할 때 사용자 입력에 대한 유효성 검사가 불충분하여 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있습니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2021-26814 CVSS v2.0 Severity and Metrics: Base Score: 6.5 MEDIUM
[그림1. NVD 내역]
취약점 분석
해당 취약점은 manager/files API의 path 매개변수에 Directory Traversal 취약점이 발생할 수 있습니다.
path 매개변수가 /etc/lists 경로로 시작하는 경우, 하위 경로에는 모든 문자가 올 수 있습니다.
_etc_and_ruleset_path = (^(etc|ruleset)/(decoders|rules|lists(/[w-_]+)*))$
따라서, 아래의 요청을 통해 공격이 진행될 수 있습니다.
POST /manager/files?path=etc/lists/../../
또한, manager/files API는 파일 업로드를 위한 PIT 메서드를 허용합니다. 또한, path 매개변수를 받습니다.
[그림2. manager/files API]
해당 기능을 악용하여 악성 파일을 업로드할 수 있습니다.
[그림3. PUT 요청을 통한 파일 업로드]
취약한 버전은 4.0.0 - 4.0.3이며, 4.0.4 버전에서 패치되었습니다.
[그림4. 패치 내역]
공격 분석 및 테스트
CVE-2021-26814의 공격 패킷은 다음과 같습니다. overwrite 매개변수의 값이 true인 경우, 기존 파일을 덮어쓸 수 있습니다.
[그림5. 취약한 패킷]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.
2. WINS Sniper 제품군 대응 방안
[5456] Wazuh manager files Directory Traversal
|
