|
[CVE-2018-16167] LogonTracer timezone RCE 침해사고분석팀 2021.06.11 |
|
|
LogonTracer에 RCE(Remote Code Execution)취약점이 존재합니다.
해당 취약점은 logontracer.py 의 timezone 매개 변수에 대한 부적절한 검증으로 인해 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2018-16167 CVSS v2.0 Severity and Metrics: Base Score: 10.0 HIGH
[그림1. NVD 내역]
취약점 분석
해당 취약점은 /usr/local/src/LogonTracer/logontracer.py경로에서 파일 확장자에 대한 부적절한 유효성 검사로 인해 발생합니다.
[그림2. logontracer.py 코드 일부]
[그림2]를 보면 timezone 파라미터에 대한 입력값 검증이 없는 것을 볼 수 있습니다. timezone에 python 코드를 삽입한다면 악의적인 행동으로 이어질 수 있습니다.
[그림 3. 악의적인 코드로 인해 remote shell을 얻은 모습]
공격 분석 및 테스트
CVE-2018-16167의 공격 패킷은 다음과 같습니다.
[그림3. 취약한 패킷]
취약점 대응 방안
1. 최신 버전 사용
최신 버전으로 설치한다. https://github.com/JPCERTCC/LogonTracer
2. WINS Sniper 제품군 대응 방안
[5476] LogonTracer logontracer.py timezone RCE
|
