포티넷 FortiGuard Labs 보안 전문가가 CVE-2019-16920으로 추적된 원격 코드 실행 취약점을 공개했다. 해당 취약점은 2019년 9월에 발견된, 인증되지 않은 명령 삽입 이슈이다. CVSS v31 기본 점수 9.8, CVSS v20 기본 점수 10을 받았다.

좋지 않은 소식은 이 취약점이 단종된 제품에 영향을 미치기 때문에 벤더사가 이를 해결하지 않을 것이라는 점이다. 포티넷에 따르면 결함은 DIR-655, DIR-866L, DIR-652 및 D-Link 펌웨어에 영향을 미친다.

포티넷이 발표한 보안 권고문은 “2019년 9월 포티넷의 포티가드 랩스가 D-Link에서 인증되지 않은 명령 삽입 취약점(FG-VD-19-117 / CVE-2019-16920)을 발견해 보고했다. 이를 악용할 경우 원격 코드 실행으로 이어질 수 있다. 인증 없이 취약점을 원격으로 트리거할 수 있으므로 심각한 문제라고 판단했다.”고 설명한다.

공격자는 PingTest 게이트웨이 인터페이스에 임의 입력을 보내 명령 삽입에 성공, 취약점을 악용 가능하다.

이 결함은 잘못된 인증 검사에서 시작된다. 관리자 페이지에서 시작해 로그인 작업을 수행한 후, ping_test 작업으로 apply_sec.cgi에 POST HTTP 요청을 구현한다. 그런 다음 ping_ipaddr에서 명령 삽입을 수행한다. 로그인 페이지를 리턴하더라도 ping_test 작업은 계속 수행된다. ping_ipaddr 값이 라우터 서버에서 echo 1234 명령을 실행한 다음 결과를 서버로 다시 보낸다.

전문가들은 잘못된 인증 검사로 인해 필요한 권한 없이도 원격으로 코드를 실행할 수 있음을 발견했다.

연구원들은 9월 22일에 D-Link 취약점을 보고했고 그 다음날 벤더사가 문제를 인정했지만, 3일 후에는 제품이 EOL(End of Life)이기 때문에 패치가 릴리즈되지는 않을 것이라는 답변을 받았다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★