Netgear 라우터 모델에 영향을 미치는 심각도 높은 RCE 취약점 공개

 

 

High-Severity RCE Flaw Disclosed in Several Netgear Router Models

 

네트워킹 기기 회사인 Netgear가 원격 공격자가 취약한 시스템을 제어하는데 악용할 수 있는 심각도 높은 원격 코드 실행(RCE) 취약점을 수정하는 패치를 공개했습니다. 이 취약점은 다수의 라우터 모델에 영향을 미치는 것으로 확인됐습니다.

 

CVE-2021-40847(CVSS 점수: 8.1)로 등록된 이 보안 취약점은 아래 모델에 존재합니다.

 

R6400v2(펌웨어 버전 1.0.4.120에서 수정됨)

R6700(펌웨어 버전 1.0.2.26에서 수정됨)

R6700v3(펌웨어 버전 1.0.4.120에서 수정됨)

R6900(펌웨어 버전 1.0.2.26에서 수정됨)

R6900P(펌웨어 버전 3.3.142_HOTFIX에서 수정됨)

R7000(펌웨어 버전 1.0.11.128에서 수정됨)

R7000P(펌웨어 버전 1.3.3.142_HOTFIX에서 수정됨)

R7850(펌웨어 버전 1.0.5.76에서 수정됨)

R7900(펌웨어 버전 1.0.4.46에서 수정됨)

R8000(펌웨어 버전 1.0.4.76에서 수정됨)

RS400(펌웨어 버전 1.5.1.80에서 수정됨)

 

GRIMM의 보안 연구원인 Adam Nichols에 따르면, 이 취약점은 유해 콘텐츠 차단 기능을 제공하는 펌웨어에 포함된 서드파티 컴포넌트인 Circle에 존재하며, Circle 업데이트 데몬과 함께 기본적으로 실행되도록 설정된 웹사이트 및 응용 프로그램에 대한 일일 인터넷 시간 제한을 설정해 두지 않은 경우에 발생합니다.

 

이로 인해 접근 권한을 획득한 공격자가 중간자 공격(MitM)을 통해 루트 권한으로 원격 코드 실행(RCE)이 가능할 수 있습니다.

 

 

<이미지 출처 : https://thehackernews.com/2021/09/high-severity-rce-flaw-disclosed-in.html>

 

 

이는 업데이트 데몬(circled)이 Circle과 Netgear에 연결하여 HTTP를 사용하여 다운로드되는 서명되지 않은 필터링 데이터베이스에 대한 업데이트를 가져오는 방식으로 인해 발생합니다. 따라서 중간자 공격을 수행하고 특수 제작된 압축 데이터베이스 파일을 통해 업데이트 요청에 응답해 공격자가 실행 가능한 바이너리를 악성코드로 덮어쓸 수 있도록 허용합니다.

 

연구원은 이에 대해 아래와 같이 밝혔습니다.

 

"이 코드는 취약한 라우터에서 루트 권한으로 실행되기 때문에 원격 코드 실행을 달성하기 위해 이를 악용할 경우 Netgear 펌웨어에서 발견되는 RCE 취약점만큼 영향을 줄 수 있습니다."

 

 

 

 

출처:

https://thehackernews.com/2021/09/high-severity-rce-flaw-disclosed-in.html

https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204

https://blog.grimm-co.com/2021/09/mama-always-told-me-not-to-trust.html