포스팅 내용

국내외 보안동향

rConfig에서 치명적인 RCE 취약점 발견돼

Watch Out IT Admins! Two Unpatched Critical RCE Flaws Disclosed in rConfig


한 사이버 보안 연구원이 rConfig 유틸리티에서 패치되지 않은 치명적인 원격 코드 실행 취약점 두 개에 대한 세부 정보와 PoC 익스플로잇을 공개했습니다. 이 중 최소 하나는 인증되지 않은 원격 공격자들이 타깃 서버와 연결된 네트워크 기기를 해킹하도록 허용합니다. 


native PHP로 작성된 rConfig는 무료 오픈소스 네트워크 기기 구성 관리 유틸리티로 네트워크 엔지니어가 네트워크 기기를 구성하고 주기적으로 구성 스냅샷을 찍는 데 사용할 수 있습니다. 


rConfig의 웹사이트에 따르면, 이는 스위치, 라우터, 방화벽, 로드 밸런서, WAN 옵티마이저를 포함한 네트워크 장비 330만 대 이상을 관리하는 데 사용되고 있습니다. 


더욱 걱정스러운 점은, 이 취약점 둘 모두 최신 버전인 3.9.2를 포함한 rConfig 모든 버전에 존재하며, 아직까지 보안 패치도 발표되지 않은 상태라는 것입니다. 


Mohammad Askar가 발견한 이 결점은 rConfig 내 각각 다른 파일에 존재합니다. CVE-2019-16662로 등록된 취약점은 사전 인증 없이도 원격으로 악용될 수 있습니다. CVE-2019-16663로 등록된 다른 취약점은 악용 전 인증이 필요합니다.


- ajaxServerSettingsChk.php 내 인증이 필요 없는 RCE 취약점 (CVE-2019-16662)

- search.crud.php 내 인증이 필요한 RCE 취약점 (CVE-2019-16663)


공격자는 이 두 취약점을 악용하기 위해 타깃 서버에서 OS 명령을 실행하도록 조작된 GET 파라미터를 사용해 취약한 파일에 접근하기만 하면 됩니다.


공개된 PoC 익스플로잇을 이용하면  공격자가 피해자의 서버에서 원격 셸을 얻어 해킹된 서버에서 웹 애플리케이션과 동일한 권한으로 어떤 임의 명령어라도 실행할 수 있게 됩니다. 


한편, 또 다른 개인 보안 연구원인 Sudoka도 이 결점을 분석했으며, 그 결과 두 번째 RCE 취약점도 rConfig 3.6.0 이전 버전에서 인증 없이도 악용이 가능하다는 것을 발견했습니다. 


“rConfig의 소스코드를 살펴본 결과 3.9.2뿐만 아닌 모든 버전에 이 취약점이 존재한다는 것을 발견했습니다. 또한 인증이 필요한 RCE 취약점인 CVE-2019-16663는 rConfig 3.6.0 이전의 모든 버전에서 인증 없이도 악용이 가능했습니다.” 


중요한 업데이트 


하지만, SANS의 보안 연구원인 Johannes Ullrich는 The Hacker News 측에 초기에 보도된 대로 설치된 모든 rConfig가 첫 번째 인증 전 RCE 취약점에 취약한 것은 아니라고 밝혔습니다. 


Ullrich는 이 제로데이 취약점을 분석 결과 첫 번째 취약점과 관련된 취약한 파일이 서버에 rConfig를 설치하는 과정에서 필요한 디렉터리에 속한다는 것을 발견했습니다. 이 디렉터리는 설치가 끝난 후 제거하도록 되어있습니다. 


rConfig의 웹사이트에는 설치가 끝난 후 사용자가 따라야 할 필수 작업 목록이 기재되어 있는데, 사용자에게 “설치가 완료되면 설치 디렉터리를 삭제하라”라고 조언하고 있습니다. 


따라서 권고대로 rConfig의 설치 디렉터리를 삭제한 사용자라면 첫 번째 RCE 결점에는 취약하지 않다는 것입니다. 하지만 여전히 두 번째 RCE 취약점으로 인해 위험에 노출될 수 있습니다. 


rConfig를 사용 중일 경우 임시로 서버에서 애플리케이션을 제거하거나 보안 패치가 발행될 때까지 대체 솔루션을 사용할 것을 권장합니다.



출처 :


티스토리 방명록 작성
name password homepage