[2019.03.20] CUJO Smart 방화벽 원격 코드 실행 취약점 (CVE-2018-3968-9, CVE-2018-4012, CVE-2018-4031

요약

- CUJO Smart 방화벽 : 가정용 네트워크에 사용 되며 Amazon 등에서 구입이 가능 함. 악성코드, 피싱 웹사이트, 해킹 방지 기능을 제공. 

- 취약점 : Cisco Talos 팀은 원격 공격자가 네트워크 트래픽을 모니터링하고, 민감한 정보를 훔칠 수 있는 등, 장비를 전적으로 컨트롤 가능하다며 2가지 취약점을 발표함.

(1) Webroot BrightCloud SDK HTTP 헤더 파싱 코드 실행 취약점 (CVE-2018-4012)

: 비인가 공격자가 BrightCloud 서비스로 가장에 장비에 root 사용자로 임의의 코드를 실행할 수 있음 

(BrightCloud SDK : 웹 브라우징 보호에 사용됨. 기본 설정으로 HTTP 연결을 사용해 공격자가 트래픽을 가로챌 수 있음)

(2) CUJO Smart 방화벽 호스트네임 평판 검증 코드 실행 취약점 (CVE-2018-4031)

: 로컬 네트워크의 비인가 공격자가 HTTP요청의 Host 해더를 특정해 커널에 Lua 스크립트룰 실행할 수 있음 

(Lunatik Lua 엔진 : 웹브라우징 보호 목적으로 네트워크 트래픽을 분석하는데 사용 됨)

Lunatik에서 load()함수 사용이 허용되어 공격자가 커널에서 임의의 코드 실행 가능. 임의의 호스트 네임을 추출해 분석 가능

      

∴ 위 2 취약점을 이용해 CUJO 네트워크의 클라이언트 장비에 Lun 스크립트 삽입과 커널에 코드 실행을 하도록 하는 JavaScript를 이용해 

   강제로 POST 요청을 수행하도록 할 수 있음.

(3) Das U-Boot 검증 부팅 우회 취약점(CVE-2018-3968)

: 부팅 이미지가 장비에 공급이 가능한 경우, 로컬 또는 원격 접근이 가능한 공격자는 레거시 이미지 형식에 포함된 서명되지 않은 커널을 실행 할 수 있음

(4) CUJO Smart 방화벽 dhcpd.conf 검증 부팅 우회 취약점 (CVE-2018-3969)

: 시스템이 부팅되는 동안 공격자는 임의의 시스템 코드를 실행할 수 있음. 또한 /config/dhcpd.conf파일에 시스템 명령어를 삽입해 시스템이 재부팅될때마다 해당 명령어가 실행되게 할 수 있음

     *Cisco Talos 팀은 위 4개의 취약점을 포함 총 11개의 취약점을 발표

- 대응방안 : 최신 버전으로 업데이트 

관련 CVE정보

- CVE-2018-4012, CVE-2018-4031, CVE-2018-3968, CVE-2018-3969

영향성

- 해당 제품 그룹사는 신속한 패치 필요 

참고자료

Cisco Talos 분석 : https://blog.talosintelligence.com/2019/03/vuln-spotlight-cujo.html

출처 : https://threatpost.com/host-of-flaws-found-in-cujo-smart-firewall/142966/