Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보AVTECH IP Camera RCE 취약점
작성일 2018-09-28 조회 1050

AVTECH IP Camera Remote Code Execution 취약점에 대한 공격 코드가 exploit-db에서 발표되었습니다.

 

 

당사 분석팀은 지속적인 모니터링으로 해당 취약점에 관한 데이터를 수집하고 있었고,

최근 이를 이용한 공격이 급증함에 따라 패턴 릴리즈를 진행하게 되었습니다.

 

 

2018년 9월 28일 shodan, Zoomeye를 통해 검색해본 결과 인터넷에 노출되어 있는 취약한 기기는 1,000,000대 이상 있습니다.

 

 

[shodan]

 

 

 

 

 

[zoomeye]

 

 

 

현재 공개된 AVTECH IP Camera Remote Code Execution 취약점의 PoC는 [그림1]과 같습니다.

 

 

[그림1. AVTECH IP Camera RCE PoC]

 

 

해당 취약점은 인증되지 않은 사용자가 Search.cgi 파일에서 사용되는 action, ip, port, queryb64str 매개변수를 적절하게 검증하지 않기 때문에 발생합니다.

 

원격의 공격자는 조작된 HTTP 요청을 전달하여 취약점을 악용할 수 있고, 악용에 성공하면 임의 코드가 실행됩니다.

 

 

다음 [그림2]은 AVTECH IP Camera 취약점을 이용하여 공격하는 패킷을 당사에서 운영하는 honeynet에 탐지한 것입니다. 

 

[그림2. Honeynet packet]

 

 

action, ip, port, queryb64str 매개변수에 임의의 값을 입력한 후 wget을 이용하여

공격자서버에서 파일을 다운받는 형태의 공격을 진행하는 것을 확인할 수 있습니다.

 

 

 

Sniper 제품군 대응 방안

 

당사 Sniper 장비에서는 아래와 같은 패턴으로 대응이 가능합니다.

 

[4468] AVTECH IP Camera Search.cgi RCE

 

첨부파일 첨부파일이 없습니다.
태그 AVTECH IP Camera    IPCam  shodan  zoomeye