개요
Nuxeo CMS 에서 원격 코드 실행 취약점이 발견되었다.

 

해당 취약점은 BatchUploadObject 클래스 내에 X-File-Name 헤더에 대한 적절한 검증이 존재하지 않아 발생한다.
공격자는 해당 취약점과 디렉토리 트레버셜 취약점을 함께 이용하여 임의의 JSP 파일을 업로드 하고 실행이 가능하다.

 

공격 성공시 공격자는 임의의 코드를 실행할 수 있다.

 

분석
CVE-2017-5869, Nuxeo CMS 에 대한 취약점이 공개되었다.

 

[그림 1.] 취약점 공개 내역

 

취약점에 대한 패치 내역을 확인해보면 사용자 제공 파일을 사용하지 않도록 권고 하였다.
파일이름 대신에 랜덤한 시간값을 사용하도록 패치하였다.

 

[그림 2.] 패치 내역

 

공개된 PoC 의 경우 Metasploit 모듈로 공개하여 손쉽게 사용이 가능하다.
발생되는 패킷을 확인 해보면 X-File-Name 헤더의 취약점과 함께 디렉토리 트레버셜 취약점을 이용하여 웹쉘 파일을 업로드한다.

 

[그림 3.] 발생 패킷 내역

 

대응방안
벤더사에서 해당 취약점에 대해 패치를 진행하였으므로, 최신버전으로 패치 하는 것을 최우선으로 권고한다.

패치가 불가능하거나, 당사 Sniper 제품을 사용시에는 아래와 같은 패턴으로 대응이 가능하다.

 

1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

 

2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

참조
https://www.exploit-db.com/exploits/41748/