Zyxel, 방화벽 제품의 RCE 취약점 은밀히 수정해

Zyxel silently fixes critical RCE vulnerability in firewall products

 

Zyxel 제품 다수에 존재하는 취약점을 발견한 연구원이 해당 취약점이 2주 전 발표된 자동 업데이트를 통해 수정되었다고 밝혔습니다.

 

Rapid7의 보안 연구원은 현재 CVE-2022-30525(CVSS v3 점수: 9.8, 치명적)로 등록된 취약점을 발견하고 지난 4월 13일 Zyxel에 이를 제보했습니다.

 

이는 HTTP 인터페이스를 통한 인증되지 않은 원격 명령 주입 취약점으로 ZTP(Zero Touch Provisioning)를 지원하는 Zyxel 방화벽에 영향을 미칩니다. 영향을 받는 펌웨어 버전은 ZLD5.00 ~ ZLD5.21 패치 1입니다.

 

CVE-2022-30525는 아래 모델에 영향을 미칩니다.

 

펌웨어 버전 5.21 이하를 사용하는 USG FLEX 50, 50W, 100W, 200, 500, 700

펌웨어 버전 5.21 이하를 사용하는 USG20-VPN, USG20W-VPN

펌웨어 버전 5.21 이하를 사용하는 ATP 100, 200, 500, 700, 800

 

해당 제품은 일반적으로 소규모 지점 및 기업의 본부에서 VPN, SSL 검사, 침입 방지, 이메일 보안, 웹 필터링을 위해 사용합니다.

 

Rapid 7은 보고서를 통해 아래와 같이 설명했습니다.

 

"명령은 "nobody" 사용자를 통해 실행됩니다. 이 취약점은 /ztp/cgi-bin/handler URI를 통해 악용되며 정제되지 않은 공격자 입력을 lib_wan_settings.py의 os.system 메소드로 전달한 결과입니다.”

 

“취약한 기능은 setWanPortSt 명령과 관련하여 호출됩니다. 공격자는 mtu 또는 데이터 파라미터에 임의 명령을 삽입하는 것이 가능합니다."

 

Zyxel은 보고서와 해당 취약점의 유효성을 확인하고 2022년 6월에 수정 보안 업데이트를 출시하겠다고 약속했습니다. 이후 2022년 4월 28일 패치를 출시했지만 보안 권고, 기술 세부 정보, 완화 지침 등을 고객에게 제공하지 않았습니다.

 

곧 악용될 것으로 보여

 

Rapid 7은 MTU 필드에 명령을 삽입하여 CVE-2022-30525를 악용하는 해당 Metasploit 모듈을 설명하는 보고서를 발표했습니다.

 

취약점을 발견하고 테스트용으로 실제 동작하는 익스플로잇을 개발한 연구원인 Jake Baines 또한 데모 영상을 공개했습니다.

 

이러한 공격은 일반적으로 공격자가 파일 수정 및 OS 명령 실행을 통해 네트워크에 대한 초기 접근 권한을 얻어 네트워크를 통해 측면으로 확산할 수 있는 결과를 낳을 수 있습니다.

 

Rapid7은 아래와 같이 밝혔습니다.

 

"CVE-2022-30525에 취약한 Zxyel 방화벽은 보통 "네트워크 피벗"이라고 합니다. CVE-2022-30525를 악용할 경우 공격자는 피해자의 내부 네트워크에 발판을 마련할 수 있을 것입니다."

 

"공격자는 그 발판을 통해 인터넷에 노출되지 않았을 내부 시스템을 공격(또는 피벗)할 수 있습니다."

 

"이러한 종류의 공격의 실제 예는 Phineas Fisher가 인터넷에 노출된 방화벽/VPN을 악용하여 Hacking Team을 공격한 사례입니다.”

 

"Fisher는 방화벽/VPN에 대한 전체 액세스 권한을 얻은 후 내부 시스템(예: MongoDB 데이터베이스, NAS 스토리지, Exchange 서버)로 측면 이동이 가능했습니다.”

 

취약점에 대한 자세한 기술적 정보가 공개되었으며, 현재 Metasploit에서 지원하고 있기 때문에 모든 관리자는 공격자가 이 취약점을 활발히 악용하기 전 기기를 장치를 업데이트하는 것이 좋습니다.

 

Rapid 7은 발견 당시 인터넷에 취약한 장비 최소 16,213건이 노출된 상태라고 밝히며, 공격자에게 매력적인 타깃이 될 수 있다고 보도했습니다.

 

 

<이미지 출처 : https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/>

<취약한 Zyxel 방화벽의 Shodan 검색 결과>

 

 

최신 버전으로 업데이트가 불가능할 경우, 최소한 취약한 제품의 관리 웹 인터페이스에 대한 WAN 접근을 비활성화하는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/zyxel-silently-fixes-critical-rce-vulnerability-in-firewall-products/

https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml