[CVE-2018-10562] GPON RCE 취약점

GPON RCE 취약점이란?

 해당 라우터를 통해 원격코드 실행 명령어를 수행하여 악의적인 코드를 실행시키고 Muhstik, Maria botnet 등이 Netlink Gpon 라우터 취약점을 이용하여 봇넷을 구축하고 잇다. 봇넷에 감염될 경우 봇넷 컨트롤러가 C&C 서버를 이용하여 디도스 공격을 수행할 수 있다. 

 

PoC

① 로그인 수행

 해당 RCE 공격을 수행하기 위해서는 해당 기기에 로그인을 수행해야한다. 

 

② RCE 공격 수행

 해당 기기에 로그인 성공시 RCE 공격 수행이 가능해진다.

payload :  GET /boaform/admin/formLogin?username=user&psd=user

/boaform/admin/formPing 경로에 있는 target_addr 매개변수를 POST 요청으로 수행할 경우 해당 매개변수를 확인하지 않고 시스템 ping 및 traceroute 명령을 호출함으로 RCE 공격을 수 행할 수 있다. 

 

③ 공격 수행 결과

 RCE 공격을 성공한 후 nc, netcat 명령어를 사용하여 접속하면 라우터 내부 구조를 파악할 수 있다. 이렇게 명령 실행 권한을 얻었기 때문에 트로이목마, 또는 제어 프로그램을 설치할 수 있다.

 

GPON RCE 대응 방안은?

• 사용 기기의 정보 파악
• 기기 펌웨어(hw의 기본적 구동을 맡는 sw) 업데이트, 계정 비활성화, 권한 (rw) 등의 관리
• 사용하지 않는 rest 플러그인 삭제
• xml 지원 삭제
• 실시간 모니터링, 신속한 IP 차단

 

 

C&C 서버

Command & Control 서버는 명령 및 제어, 공격자가 초기 침투에 성공한 장치와의 통신을 유지하는데 사용하는 도구이다. 감염된 대상에 명령전다르 추가 악성 페이로드를 다운로드, 탈취한 데이터를 공격자에게 전달하는데 사용된다. 

 1) 좀비(zombie)
 악성코드에 감염되어 실제 소유자 모르게 또는 동의없이 원격으로 제어할 수 있는 컴퓨터 또는 기타 유형의 연결된 장치
 일부 바이러스, 트로이 목마 및 원치 않는 프로그램이 장치를 감염시킨 후 정보탈취 등 특정 작업을 수행하지만 다수의 악성코드는 주로 공격자의 C2 서버에 연결하기 위한 도구로 사용된다. 연결이 성공된 경우 스팸메일 발송을 위한 이메일 릴레이 서버부터 대규모 분산 서비스 거부 공격에 가담하는 것 까지 다양한 작업을 수행할 수 있다.
2) Botnet
 불법적인 목적을 위한 좀비화된 장비 모음으로 봇넷을 이용하여 암호화폐 채굴에서부터 분산 서비스 거부 공격을 통해 웹 사이트를 오프라인 상테로 만드는 것 까지 가능하낟. 봇넷은 일반적으로 공통 C2 인프라를 중심으로 통합된다. 공격자가 AaaS(Attack as a Service) 유형으로 다른 범죄자에게 봇넷에 대한 엑세스 권한을 판매하는 것도 가능하다.
3) 비콘 (Beacon)
 비콘은 감염된 장비가 명령이나 추가 페이로드를 전달 받기 위해 특정 시간에 공격자의 C2 서버에 연결을 시도하는 악성코드를 지칭한다. 탐지를 피하고자 일부 비콘은 임의의 간격으로 신호를 보내거나 C2 서버에 연결하기 전에 일정기간 대기 상태로 존재하는 경우도 있다. 

 nc, netcat 명령어

  Linux nc명령어는 netcat의 약자로 TCP, UDP 프로토콜을 사용하여 네트워크 연결에서 데이터를 읽고 쓸 수 있는 유틸리티이다.
 간단한 클라이언트-서버 애플리케이션을 만들고 파일을 전송하며 포트를 스캔하는 등의 작업에 사용 가능하다.

- nc port open 확인
nc [대상서버 ip] [대상 port]

- 현재 서버의 port open
nc -l [대상 port ]

 

 

---

https://peemangit.tistory.com/367