요약
- CVE-2019-163 : 웹 기반 RV110W 무선-N VPN Firewall, RV130W 무선-N Multifunction VPN, RV215W 무선-N VPN 라우터 관리 인터페이스에
취약점이 존재. 비인가 공격자는 악성 HTTP 요청을 취약 장비에 보내 해당 장치의 운영체제에 높은 사용자 권한으로 원격 코드
실행 가능.
- Rapid7의 스캔에 따르면 취약한 장비는 현재 12,000 대이며 미국, 캐나다, 인도, 아르헨티나, 폴란드, 로마니아에 주로 분포
- 보안업체 Bad Packets는 2019. 3/1일 취약장비를 찾기위해 ‘login.cgi’ 스캔 활동이 탐지됐다고 보고.
- 취약점 악용 요인 :
영향 받는 제품은 모두 WiFi 라우터로 소규모 사업체와 가정에서 사용되어 신속한 패치가 이루어지지 않고 있음
취약점 및 패치 발표 1일 후, 취약 장비를 스캔하고 공개된 POC를 이용한 공격이 포착 됨
고급 코딩 스킬이나 복잡한 공격 절차가 필요 없음.
인터넷을 통해 원격으로 공격이 가능
- 공격 패턴 : Pen Test Partner이 발표한 취약점 분석 예제를 이용한 공격
(https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/)
관련 CVE정보
- CVE-2019-1663
- CVSS 3.0 Score : 9.8
- PoC : https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/
참고자료
Cisco : https ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
출처 : https://www.zdnet.com/article/hackers-have-started-attacks-on-cisco-rv110-rv130-and-rv215-routers/#ftag=RSSbaffb68
https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/
'Incident Report' 카테고리의 다른 글
| [2019.03.07] Google Chrome 제로데이 원격 코드 실행 취약점 (CVE-2019-5786) (0) | 2019.03.21 |
|---|---|
| [2019.03.05] 북한, 미국과 정상회담 당시도 주요 기관 공격 (0) | 2019.03.21 |
| [2019.02.27] Drupal 취약점 이용 공격 (CVE-2019-6340) (0) | 2019.03.21 |
| [2019.02.13] 실행파일/.exe파일 이용한 신종 Mac유저 타겟 멀웨어 등장 (0) | 2019.03.20 |
| [2019.01.31] Cisco Korea 채용 공고를 이용한 한국인 대상 공격 (0) | 2019.03.20 |