CATEGORIES
보안 정보
-
보안 동향 ㅣ 사이버 보안 기관, 주요 초기 공격 벡터 공개
침해사고분석팀ㅣ2022.05.18
-
침해사고분석팀ㅣ2022.05.17
-
침해사고분석팀ㅣ2022.05.16
-
침해사고분석팀ㅣ2022.05.16
-
침해사고분석팀ㅣ2022.05.13
| 취약점 정보[CVE-2021-21425] Grav Admin Plugin RCE | ||||
| 작성일 | 2021-04-30 | 조회 | 2228 | |
|---|---|---|---|---|
|
Grav Admin Plugin에 RCE(Remote Code Execution) 취약점이 존재합니다.
Grav Admin Plugin은 Grav를 구성하고 페이지를 쉽게 만들고 수정하는 편리한 방법을 제공하는 HTML 사용자 인터페이스입니다.
해당 취약점은 /admin/config/scheduler경로의 [custom_jobs][*****][args] 파라미터를 제대로 검증하지 않아 발생합니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2021-21425 CVSS v2.0 Severity and Metrics: Base Score: 7.5 HIGH
[그림1. NVD 내역]
취약점 분석
해당 취약점은 /admin/config/scheduler 경로의 [custom_jobs][*****][args] 파라미터 값을 제대로 검증하지 않아 발생합니다.
파라미터의 [*****]값은 task의 명으로 사용자가 설정하기에 따라 달라지는 가변값입니다.
취약한 버전은 1.10.8 미만의 버전으로 1.10.8 버전 이후로 패치되었습니다.
공격 분석
CVE-2021-21425의 공격 패킷은 다음과 같습니다.
[그림 2. 공격 패킷 (1)]
우선 공격자는 /admin으로 토큰과 쿠키값을 요청하는 GET요청을 전송해 admin의 토큰과 쿠키값에 접근할 수 있습니다.
[그림 3. 공격 패킷 (2)]
이 토큰과 쿠키값을 이용해 공격자는 임의의 코드를 서버로 전송할 수 있게됩니다.
해당 공격 패킷의 경우 악성 php 코드를 base64로 인코딩하여 전송합니다.
[그림 4. base64 암호화된 php코드 일부 (3)]
최신 버전의 소프트웨어는 /admin으로 권한이 없는 일반사용자가 접근할 수 없도록 막는 것으로 패치되었습니다.
취약점 대응 방안
1. 최신 버전 사용 해당 벤더사에서 발표한 보안 권고를 참고하여 최신 버전으로 업데이트 합니다. https://github.com/getgrav/grav-plugin-admin/releases
2. WINS Sniper 제품군 대응 방안
[5417] Grav Admin Plugin scheduler args Unauthenticated RCE
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2021-21425 Grav Admin Plugin RCE | |||
