D-Link 라우터에서 CVE-2016-6563 RCE 취약점 발견, 원격 관리자 비활성화 필요

D-Link 라우터에서 CVE-2016-6563 RCE 취약점 발견, 원격 관리자 비활성화 필요

CVE-2016-6563 RCE flaw affects D-Link Routers, disable remote admin

Carnegie-Mellon CERT가 원격 코드 실행에 악용될 수 있는 D-Link 라우터의 HNAP에 존재하는 결점(CVE-2016-6563)에 대해 경고했습니다.

Carnegie-Mellon CERT에 따르면, D-Link 라우터의 Home Network Automation Protocol (HNAP)이 스택 기반의 버퍼 오버플로우 취약점인 CVE-2016-6563에 취약한 것으로 밝혀졌습니다.

해당 취약점이 악용될 경우, 승인되지 않은 공격자가 루트 권한을 통해 원격으로 임의의 코드를 실행할 수 있도록 허용할 수 있습니다. 관련하여 Carnegie-Mellon CERT 보안 공지에서는 “HNAP 로그인 액션을 실행할 때 악성 변조된 SOAP 메시지를 처리하게 되면 스택 오버플로우가 야기된다. SOAP body 내의 취약한 XML 필드는 Action, Username, LoginPassword, Captcha이다.”고 밝히고 있습니다.

CVE-2016-6563  취약점이 존재하는 D-Link 라우터의 DIR 제품군은 아래와 같습니다.

DIR-823

DIR-822

DIR-818L(W)

DIR-895L

DIR-890L

DIR-885L

DIR-880L

DIR-868L

현재까지 D-Link는 해당 취약점을 패치하지 않았기 때문에, 임시방편으로 원격 관리 옵션을 비활성화 해두어야 합니다. 

또한 보안연구원이 공개한 PoC 익스플로잇 코드가 유효하기에 주의가 필요합니다. 이 보안연구원은 이번 이슈에 대하여 필드들이 스택에 복사된 임의의 긴 문자열을 받아들이기 때문에 발생한다고 설명했습니다.

이 취약점에 대해 “선 인증(pre-authentication) 스택 버퍼 오버플로우 취약점을 포함한 일부 D-Link 라우터는 포트 80의 LAN 인터페이스에 노출되어 있다. 임의의 긴 문자열을 특정 XML 파라미터로 받아들여 스택으로 복사하는 이 취약점은 HNAP SOAP 프로토콜에 영향을 미친다. 이 익스플로잇은 진짜 기기인 DIR-818LW 및 868L(rev.B)에서 테스트되었고 DIR-822, 823, 880, 885, 890, 895에서는 에뮬레이션을 사용해 테스트 되었다. 다른 기기들도 이에 영향을 받을 가능성이 있으며, 이 취약점은 MIPS와 ARM 기기들에도 존재한다.”라고 밝혔습니다.

Ribeiro는 해당 취약점을 촉발시킬 수 있는 방법 2가지를 발견했습니다. 취약한 필드에 3096 바이트 보다 긴 문자열을 보내거나, hnap_main 함수를 2048+ 바이트로 호출해 스택을 오버러닝 시키는 방법이 있습니다.

D-Link의 HNAP에서 연구원들이 취약점을 찾아낸 것은 이번이 처음이 아닙니다. 수년 전, SourceSec Security Research의 연구원들도 비슷한 이슈를 발견한 바 있습니다.

출처 :

http://securityaffairs.co/wordpress/53231/hacking/cve-2016-6563-dlink.html

http://www.kb.cert.org/vuls/id/677427

https://github.com/pedrib/PoC/blob/master/exploits/metasploit/dlink_hnap_login_bof.rb