NETGEAR WNR2000 라우터에 대한 다중 취약점이 발표되었다.

CVE-2016-10174 : 특정 URL을 호출 할 때 특정 변수에서 Buffer OverFlow 취약점이 존재

CVE-2016-10175 : 특정 URI에 대한 요청을 수행 할 때 일련 번호를 유출하는 취약점 존재

CVE-2016-10176 : 관리자 장치에 부적절한 접근 제어로 인해 원격코드 실행 취약점이 존재

공격 성공 시, 원격 코드 실행이나 서비스 거부, 일련번호를 확인 할 수 있다.

 

 

NETGEAR 에서 자사 제품에 대한 보안패치를 공개하였다.

 

 [그림1. 보안 패치 내역]

 

해당 취약점에 대한 PoC도 함께 Github에 공개 되었다.

 

CVE-2016-10174, /apply.cgi?/lang_check.html 을 호출 할 때 hidden_lang_avi 매개 변수에서 발생하며, 오버플로우를 발생시켜 인증되지 않은 공격자가 원격 코드 실행 가능
 

 [그림2. Github 공개 내역(CVE-2016-10174)]

 

CVE-2016-10175, 일련번호를 획득하고, CVE-2016-10176 취약점에 사용하여 관리자 계정과 암호 획득 가능

 

 [그림3. Github 공개 내역(CVE-2016-10175)]

 

CVE-2016-10176, 웹 서버에서 인증되지 않은 사용자가 장치에 중요한 작업을 수행할 수 있게 해주는 apply_noauth.cgi 에서 발생하며, 해당 cgi를 이용하여 암호 초기화 및 원격 코드 실행이 가능

 

 [그림4. Github 공개 내역(CVE-2016-10176)]

 

 

본 게시글에서 NETGEAR WNR2000 라우터에 대한 다중 취약점에 대해 알아보았다.

해당 취약점들을 이용하여 원격에서 공격자가 원하는대로 코드 실행이 가능하다.

Explit DB 및 github, Metasploit 에 해당 취약점에 대한 공격 코드가 공개되어 있고, 손쉽게 사용이 가능하므로 주의가 필요하다.

벤더사에서 공개한 펌웨어로 업데이트를 권고한다.

 

 

1) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS WEBCGI] : 5925, NETGEAR NETGEAR WNR2000 Information Disclosure

[IPS WEBCGI] : 5926, NETGEAR WNR2000 'apply_noauth.cgi' RCE

[IPS 패턴블럭] : 3462, NETGEAR WNR2000 'hidden_lang_avi' Parameter BOF

2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

 

http://kb.netgear.com/000036549/Insecure-Remote-Access-and-Command-Execution-Security-Vulnerability
http://seclists.org/fulldisclosure/2016/Dec/72
https://raw.githubusercontent.com/pedrib/PoC/master/advisories/netgear-wnr2000.txt
http://www.securityfocus.com/bid/95867