Home > 전체기사
자이젤의 NAS와 방화벽 다수에서 제로데이 취약점 발견돼
  |  입력 : 2020-02-27 19:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2020-9054...원격 익스플로잇 통해 로그인 페이지에서 명령 주입 가능
문제의 핵심은 weblogin.cgi...장비 연결된 망에서 인터넷 브라우징은 자제해야


[보안뉴스 문가용 기자] 최근 자이젤(Zyxel)의 NAS 장비에서 발견된 제로데이 취약점이, 스무 개가 넘는 자이젤의 방화벽 제품에도 영향을 미친다는 게 발견됐다. 이 취약점에는 CVE-2020-9054라는 관리 번호가 붙었다. 원격 익스플로잇이 가능하며 성공했을 경우 임의의 코드를 실행할 수 있게 된다.

[이미지 = iclickart]


이 취약점은 weblogin.cgi이라는 CGI 프로그램 내부에 있으며, 사용자 이름이라는 매개변수가 제대로 확인 및 검사되지 않는다는 것이 그 내용이다. 공격자는 이를 이용해 사용자 이름 필드에 몇 가지 문자를 더함으로써 명령을 주입할 수 있게 된다. 다행히 weblogin.cgi가 루트에서 실행되지는 않지만, 취약점을 가지고 있는 장비에는 setuid 유틸리티가 있어 공격자는 루트 권한을 가지고 명령을 실행할 수 있게 된다.

익스플로잇에 필요한 건 특수하게 조작된 HTTP POST나 GET 요청이다. 이를 멀리서 취약한 장비로 보내면 된다. 공격 대상이 된 장비가 인터넷에 곧바로 연결되어 있지 않고, 방화벽의 보호를 받고 있다고 해도 익스플로잇은 가능하다. 다만 이 때는 피해자가 악성 사이트로 접속해 들어가야 한다.

자이젤은 이번 주 초 해당 취약점에 관한 보안 권고문을 발표했다. 권고문에 따르면 12개의 NAS 장비들이 이 취약점에 노출된 상태라고 하며, 이 중에는 지원이 종료된 장비가 10개 포함되어 있다고 한다. 즉, 패치가 나오지 않을 거라는 뜻이다.

그러더니 다음 날 자이젤은 권고문을 업데이트 했다. 취약한 제품을 추가한 것이다. 추가된 제품은 총 23개로, UTM, ATP, VPN 방화벽이 포함되어 있었다. 펌웨어 버전 ZLD V4.35 Patch 0 ~ ZLD V4.35 Patch 2까지 이 취약점의 영향권 아래 있다고 한다.

권고문에서 공개된 취약한 방화벽 제품은 다음과 같다 :
ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310, ZyWALL1100.

이 취약점의 익스플로잇 도구는 이미 다크웹 해킹 포럼에 등장한 상태다. 요즘 가장 큰 화제가 되고 있는 멀웨어인 이모텟(Emotet)을 운영하는 자들도 이 익스플로잇에 큰 관심을 갖고 있는 듯한 모습이 포착되기도 했다.

자이젤은 지원이 종료되지 않은 제품들에 적용할 수 있는 패치를 발표했다. 위에 목록화 한 방화벽 제품 전부와 NAS326, NAS520, NAS540, NAS542가 여기에 포함된다. 당장 패치를 적용하기 힘든 경우라면, 장비를 인터넷으로부터 분리하는 것이 최선의 보호 방법이라고 자이젤은 설명한다.

“로그인 페이지에서 명령을 주입시킬 수 있는 건 대단히 위험한 취약점입니다. 게다가 이번 경우는 사이트 교차 요청 조작 토큰이 없기 때문에 더 위험합니다.” 보안 업체 트립와이어(Tripwire)의 보안 전문가 크레이그 영(Craig Young)이 자신의 블로그를 통해 밝힌 내용이다. 그는 같은 게시글에서 “네트워크 장비나 사물인터넷 장비가 연결된 망에서 웹 브라우징을 하는 건 꽤나 위험한 행동”이라고 설명하기도 했다.

3줄 요약
1. 자이젤이라는 회사에서 만든 NAS와 방화벽 다수에서 제로데이 취약점 나옴.
2. 공격자들 사이에서는 이 취약점을 익스플로잇 할 수 있는 도구가 벌써 퍼짐.
3. 익스플로잇 성공하면 로그인 페이지에서 임의의 명령을 실행할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)