Moxa MXview 네트워크 관리 소프트웨어에서 치명적인 취약점 발견돼

Critical Security Flaws Reported in Moxa MXview Network Management Software

 

Moxa의 MXview 웹 기반 네트워크 관리 시스템에 영향을 미치는 보안 취약점 다수에 대한 기술적 세부 사항이 공개되었습니다. 이 중 일부는 인증되지 않은 공격자가 연결하여 악용할 경우 패치되지 않은 서버에서 원격 코드 실행이 가능합니다.

 

Claroty의 보안 연구원인 Noam Moshe는 이번 주 발표된 보고서에서 이 5가지 보안 취약점을 악용할 경우 "인증되지 않은 원격 공격자가 사용 가능한 가장 높은 권한인 NT AUTHORITY\SYSTEM으로 호스팅 시스템에서 코드를 실행하는 것이 가능하다”고 밝혔습니다.

 

Moxa MXview는 산업용 네트워크에서 네트워킹 장치를 구성, 모니터링, 진단하도록 설계되었습니다. 이 네트워크 관리 소프트웨어의 버전 3.x ~ 3.2.2에 영향을 미치는 취약점은 2021년 10월 버전 3.2.4 이상에서 수정되었습니다.

 

미국 CISA는 권고를 통해 아래와 같이 밝혔습니다.

 

"이 취약점을 성공적으로 악용할 경우 공격자가 코드 실행, 프로그램 액세스 권한 획득, 크리덴셜 획득, 소프트웨어 비활성화, 액세스할 수 없는 데이터 읽기 및 수정, 내부 통신 채널에 대한 원격 연결 허용, 상호 작용, 원격 MQTT 사용을 위해 중요한 파일을 생성하거나 덮어쓰기할 수 있습니다.”

 

MQTT는 원격 비동기 통신을 용이하게 하는 메시징 프로토콜을 참조하여 MXview 환경의 다른 컴포넌트와 메시지를 주고받는 것을 가능하게 합니다.

 

취약점 목록은 아래와 같습니다.

 

CVE-2021-38452(CVSS 점수: 7.5) - 코드 실행에 사용되는 중요한 파일에 대한 액세스 또는 덮어쓰기를 허용하는 애플리케이션의 경로 탐색 취약점

CVE-2021-38454(CVSS 점수: 10.0) - MQTT에 대한 원격 연결을 허용하여 원격으로 상호 작용하고 통신 채널을 사용할 수 있도록 허용하는 잘못 구성된 서비스

CVE-2021-38456(CVSS 점수: 9.8) - 하드코딩된 비밀번호 사용

CVE-2021-38458(CVSS 점수: 9.8) – 무단 원격 명령 실행으로 이어질 수 있는 특수 요소의 부적절한 무효화 문제

CVE-2021-38460(CVSS 점수: 7.5) - 공격자가 크리덴셜을 얻을 수 있는 패스워드 유출 사례

 

위의 취약점 중 3가지(CVE-2021-38452, CVE-2021-38454, CVE-2021-38458)를 함께 연결하여 악용할 경우 SYSTEM 권한이 있는 취약한 MXView 인스턴스에서 사전 인증된 원격 코드 실행이 가능합니다.

 

Claroty가 고안해낸 가상의 공격 시나리오에서, 공격자는 CVE-2021-38452 취약점을 악용하여 구성 파일인 gateway-upper.ini를 읽은 다음 일반 텍스트 MQTT 패스워드를 손에 넣은 후 CVE-2021-38454를 악용하여 악성 MQTT 메시지를 주입해 서버에서 명령 주입을 통해 코드 실행을 유발할 수 있습니다.

 

Moshe는 "공격자는 서버에서 수행하는 모든 입력 유효성 검사를 우회해 MQTT 브로커에 직접 악성 메시지를 주입하고, OS 명령 주입 취약점을 통해 원격 임의 원격 코드 실행이 가능하다”라고 설명했습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/02/critical-security-flaws-reported-in.html

https://www.claroty.com/2022/02/10/blog-research-securing-network-management-systems-moxa-mxview/