명령 주입에 취약한 4종교 라우터

보안 연구원들이 특정 Four-Faith 산업용 라우터에서 심각도가 높은 취약점을 발견했습니다. CVE-2024-12856으로 추적되는 이 결함을 통해 공격자는 라우터의 운영 체제에 명령을 주입할 수 있습니다. 이로 인해 리버스 셸이 열리고 해커가 장치에 원격으로 액세스할 수 있게 됩니다.

이 취약점은 Four-Faith 라우터 모델 F3x24 및 F3x36에 영향을 미칩니다. 이러한 라우터는 에너지, 유틸리티, 운송, 통신, 제조 등 다양한 분야에서 일반적으로 사용됩니다. 이러한 라우터 중 다수가 여전히 기본 자격 증명으로 구성되어 있어 공격자의 쉬운 표적이 되기 때문에 이 결함은 특히 우려됩니다.

취약점을 악용하기 위해 해커는 특별히 제작된 HTTP POST 요청을 라우터의 ‘/apply.cgi’ 엔드포인트로 보냅니다. 시스템 시간을 조정하는 데 사용되는 ‘adj_time_year’ 매개변수를 대상으로 합니다. 공격자는 이 매개변수를 조작하여 셸 명령을 포함하고 장치에 대한 제어권을 얻을 수 있습니다.

Censys의 데이터에 따르면 현재 위험에 처할 수 있는 인터넷 연결 Four-Faith 라우터가 약 15,000개 있습니다.

Four-Faith 라우터의 명령 주입 위험

이 결함의 적극적인 악용을 발견한 사이버 보안 회사인 VulnCheck는 이 공격이 동일한 엔드포인트를 통해 다른 취약점을 표적으로 삼는 공격과 유사하다고 경고했습니다.

라우터가 손상되면 공격자는 지속성을 위해 구성 파일을 수정하고, 피벗할 다른 장치의 네트워크를 탐색하고, 공격을 더욱 확대할 수 있습니다. VulnCheck는 이 결함을 사용하여 공격자의 컴퓨터에 대한 리버스 셸을 생성하는 방법을 보여주는 샘플 페이로드를 제공했습니다. 위험을 완화하려면 영향을 받는 Four-Faith 라우터의 사용자는 최신 펌웨어 버전을 실행하고 있는지 확인하고 기본 자격 증명을 강력하고 고유한 비밀번호로 변경해야 합니다.

VulnCheck는 악용 시도를 탐지하고 차단하는 데 도움이 되는 Suricata 규칙도 공유했습니다. 취약한 라우터를 제작하는 중국 제조업체인 Four-Faith는 2024년 12월 20일에 이 문제에 대해 통보받았습니다. 그러나 현재 결함을 해결하는 보안 업데이트가 제공되는지 여부는 불분명합니다.

CVE-2024-12856 완화에 대한 지침은 Four-Faith 영업 담당자 또는 고객 지원에 문의하는 것이 좋습니다. 이 취약점의 발견과 적극적인 악용은 산업용 라우터 및 기타 IoT 장치 보안의 중요성을 강조합니다. 이러한 장치가 중요한 인프라와 다양한 산업에서 점점 더 보편화됨에 따라 최신 상태를 유지하고, 기본 자격 증명을 변경하고, 잠재적인 위협을 모니터링하는 것이 중요합니다.