.gif)
최근 RV320과 RV325에서 발견된 취약점 두 개...해커들의 최신 먹잇감
하나는 정보 유출 취약점, 다른 하나는 명령 실행...합치면 장비 장악 가능
[보안뉴스 문가용 기자] 해커들이 시스코의 소기업용 라우터(Cisco Small Business Router)들을 인터넷에서 검색하고 있다. 특히 정보 노출 및 명령 주입 취약점이 있는 것들을 찾아 헤매고 있다. 이 취약점들은 바로 얼마 전 시스코에서 패치한 것들이다.
[이미지 = iclickart]
문제의 라우터 모델은 Small Business RV320과 RV325 라우터로, 지난 1월 23일 시스코가 고위험군 취약점 두 개가 있으니 조심하라고 고객들에게 경고를 전달했다. 취약점 중 하나는 CVE-2019-1653으로 정보 노출 취약점의 일종이라고 시스코는 전달했다. 인증 받지 못한 공격자가 원격에서 민감한 정보를 수집할 수 있게 해주는 취약점이라는 뜻이다.
그 다음 취약점은 CVE-2019-1652로 공격자가 관리자 권한을 탈취한 뒤 루트에서 임의의 명령을 실행할 수 있게 해주는 것이었다. 이 두 가지 취약점을 합해서 공격하면 라우터를 공격자가 통째로 장악할 수 있게 된다.
CVE-2019-1653이 발견되는 곳은 펌웨어 버전이 1.4.2.15와 1.4.2.17인 라우터들이다. 이것은 1.4.2.19 버전으로 패치가 되었다. 두 번째 취약점인 CVE-2019-1652가 발견되는 곳은 펌웨어 버전이 1.4.2.15에서 1.4.2.19까지인 라우터들이며, 1.4.2.20 버전을 통해 패치됐다.
이 두 가지 취약점을 발견한 건 독일의 보안 회사인 레드팀 펜테스팅(RedTeam Pentesting)으로, 시스코의 권고문이 발표된 시점에 취약점의 기술 정보와 개념증명 코드를 발표하기도 했다.
그리고 1월 25일 보안 전문가 데이비드 데이비슨(David Davidson)은 이 두 가지 취약점을 한꺼번에 익스플로잇 하는 개념증명을 발표했다. 데이비슨은 CVE-2019-1653을 통해 환경설정 및 디버그 파일들을 얻어낸 후, 이 정보를 통해 인증 정보를 가져가는 데 성공했다. 라우터의 환경설정 파일에는 해시된 비밀번호가 들어 있었고, 디버그 파일의 /etc/shadow에는 암호화된 비밀번호가 저장되어 있었기 때문이다.
비밀번호를 얻어내는 데 성공한 데이비슨은 라우터에 로그인을 하고, 기반에 깔린 리눅스 셸에서 루트 권한을 가지고 임의의 명령을 실행하는 데 성공했다. 이 때 데이비슨은 CVE-2019-1652를 활용했다.
최근 보안 연구 블로그인 배드 패키츠 리포트(Bad Packets Report)는 CVE-2019-1653 취약점을 익스플로잇 하기 위한 ‘스캐닝 활동’이 최근 증가했음을 발표했다. “다수의 공격자들이 /cgi-in/config.exp에 대한 GET 요청을 계속해서 보내고 있습니다. 이 경로는 원격의 사용자가 라우터 장비의 설성파일 전체에 접근할 수 있게 해주는 것입니다.” 배드 패키츠 리포트의 트로이 머쉬(Troy Mursch)의 설명이다.
배드 패키츠 리포트도 이를 따라 스캐닝을 해보았다. 그랬더니 RV320과 RV325 라우터들 중 위에서 언급한 두 가지 취약점 중 CVE-2019-1653을 가지고 있는 장비가 120개국에서 9600개가 발견됐다. 그 중 4400개 정도는 미국에서 발견됐고, 캐나다에서 780개, 브라질에서 630개, 태국에서 300개가 나타났다.
시스코는 “취약점 두 개에 대한 익스플로잇 코드가 공개되어 있는 상태이며, 인터넷을 통한 장비 스캐닝 행위가 대량으로 발생하고 있다”고 권고문을 업데이트해서 고객들에게 전파했다.
3줄 요약
1. 시스코 라우터 장비 중 두 가지 모델에서 고위험군 취약점 2개 발견됨.
2. 그런데 최근 해커들이 이 취약점을 적극적으로 스캔하는 것이 눈에 띔.
3. RV320과 RV325 장비 사용자들은 펌웨어 업데이트 시급히 해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
하나는 정보 유출 취약점, 다른 하나는 명령 실행...합치면 장비 장악 가능
[보안뉴스 문가용 기자] 해커들이 시스코의 소기업용 라우터(Cisco Small Business Router)들을 인터넷에서 검색하고 있다. 특히 정보 노출 및 명령 주입 취약점이 있는 것들을 찾아 헤매고 있다. 이 취약점들은 바로 얼마 전 시스코에서 패치한 것들이다.
[이미지 = iclickart]
문제의 라우터 모델은 Small Business RV320과 RV325 라우터로, 지난 1월 23일 시스코가 고위험군 취약점 두 개가 있으니 조심하라고 고객들에게 경고를 전달했다. 취약점 중 하나는 CVE-2019-1653으로 정보 노출 취약점의 일종이라고 시스코는 전달했다. 인증 받지 못한 공격자가 원격에서 민감한 정보를 수집할 수 있게 해주는 취약점이라는 뜻이다.
그 다음 취약점은 CVE-2019-1652로 공격자가 관리자 권한을 탈취한 뒤 루트에서 임의의 명령을 실행할 수 있게 해주는 것이었다. 이 두 가지 취약점을 합해서 공격하면 라우터를 공격자가 통째로 장악할 수 있게 된다.
CVE-2019-1653이 발견되는 곳은 펌웨어 버전이 1.4.2.15와 1.4.2.17인 라우터들이다. 이것은 1.4.2.19 버전으로 패치가 되었다. 두 번째 취약점인 CVE-2019-1652가 발견되는 곳은 펌웨어 버전이 1.4.2.15에서 1.4.2.19까지인 라우터들이며, 1.4.2.20 버전을 통해 패치됐다.
이 두 가지 취약점을 발견한 건 독일의 보안 회사인 레드팀 펜테스팅(RedTeam Pentesting)으로, 시스코의 권고문이 발표된 시점에 취약점의 기술 정보와 개념증명 코드를 발표하기도 했다.
그리고 1월 25일 보안 전문가 데이비드 데이비슨(David Davidson)은 이 두 가지 취약점을 한꺼번에 익스플로잇 하는 개념증명을 발표했다. 데이비슨은 CVE-2019-1653을 통해 환경설정 및 디버그 파일들을 얻어낸 후, 이 정보를 통해 인증 정보를 가져가는 데 성공했다. 라우터의 환경설정 파일에는 해시된 비밀번호가 들어 있었고, 디버그 파일의 /etc/shadow에는 암호화된 비밀번호가 저장되어 있었기 때문이다.
비밀번호를 얻어내는 데 성공한 데이비슨은 라우터에 로그인을 하고, 기반에 깔린 리눅스 셸에서 루트 권한을 가지고 임의의 명령을 실행하는 데 성공했다. 이 때 데이비슨은 CVE-2019-1652를 활용했다.
최근 보안 연구 블로그인 배드 패키츠 리포트(Bad Packets Report)는 CVE-2019-1653 취약점을 익스플로잇 하기 위한 ‘스캐닝 활동’이 최근 증가했음을 발표했다. “다수의 공격자들이 /cgi-in/config.exp에 대한 GET 요청을 계속해서 보내고 있습니다. 이 경로는 원격의 사용자가 라우터 장비의 설성파일 전체에 접근할 수 있게 해주는 것입니다.” 배드 패키츠 리포트의 트로이 머쉬(Troy Mursch)의 설명이다.
배드 패키츠 리포트도 이를 따라 스캐닝을 해보았다. 그랬더니 RV320과 RV325 라우터들 중 위에서 언급한 두 가지 취약점 중 CVE-2019-1653을 가지고 있는 장비가 120개국에서 9600개가 발견됐다. 그 중 4400개 정도는 미국에서 발견됐고, 캐나다에서 780개, 브라질에서 630개, 태국에서 300개가 나타났다.
시스코는 “취약점 두 개에 대한 익스플로잇 코드가 공개되어 있는 상태이며, 인터넷을 통한 장비 스캐닝 행위가 대량으로 발생하고 있다”고 권고문을 업데이트해서 고객들에게 전파했다.
3줄 요약
1. 시스코 라우터 장비 중 두 가지 모델에서 고위험군 취약점 2개 발견됨.
2. 그런데 최근 해커들이 이 취약점을 적극적으로 스캔하는 것이 눈에 띔.
3. RV320과 RV325 장비 사용자들은 펌웨어 업데이트 시급히 해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
