Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell
Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell
A RCE vulnerability, CVE-2023-20118, affecting Cisco Small Business Routers, has become a focal point for cybercriminals.
gbhackers.com
- 주요 취약점 개요
- 원인: 웹 기반 관리 인터페이스의 입력 검증 부재
- CVE-2023-20118: Cisco Small Business 라우터의 원격 코드 실행(RCE) 취약점
- 공격자는 특수하게 조작된 HTTP 요청을 통해 임의 명령 실행 가능
- 2025년 1월 말부터 본격적으로 악용 사례 확인됨 (Sekoia.io TDR 팀)
- 웹쉘 배포 방식
- 공격자는 먼저 정찰 명령을 통해 웹쉘 존재 여부를 확인
- 웹쉘이 없을 경우 악성 페이로드를 포함한 HTTP 요청으로 웹쉘 설치
- 웹쉘은 Base64 인코딩 및 gzip 압축을 통해 감춰짐
- PASSHASH 매개변수를 통해 인증된 사용자만 명령 실행 가능
- 웹쉘의 주요 역할은 2단계 악성코드의 전달 메커니즘으로 사용
- 고급 TLS 백도어 및 봇넷 활동
- 2025년 2월 10일, 더 복잡한 공격 패턴이 감지됨
- 공격자는 다중 IP 주소를 통해 동시 공격을 수행 (봇넷 활동 시사)
- FTP를 통해 "q" 스크립트를 다운로드 후 실행
- 스크립트는 MIPS64 아키텍처용 cipher_log라는 TLS 백도어를 설치
- 백도어는 암호화된 C2 서버 통신 채널을 구축
- 지속성 및 자기 은폐 메커니즘 포함
- PolarEdge 봇넷 분석
- PolarEdge 봇넷: PolarSSL (현재 Mbed TLS) 인증서 사용
- Cisco 외에도 Asus, QNAP, Synology 장치를 대상으로 공격
- 전 세계 약 2,000대 이상 장치 감염
- 인프라
- 배포 서버: Huawei Cloud에 호스팅
- 보고 서버: Green Floid LLC와 연계
- 공격 기법 및 봇넷 특성
- 암호화 통신 및 지속성 메커니즘을 갖춘 정교한 페이로드 사용
- 다양한 아키텍처에 맞춘 페이로드 제공
- 궁극적인 목표는 운영 중계 상자(Operational Relay Box, ORB)로 활용 가능성
- 보안 권고
- 취약한 장치의 신속한 패치 적용 필요
- 경계 장치의 보안 강화 및 위협 탐지 시스템(IDS/IPS) 구성
- 의심스러운 HTTP 요청과 비정상적인 네트워크 활동 모니터링
- 암호화 통신 채널을 사용하는 비인가 C2 연결 탐지 강화
- FTP 트래픽 감시 및 예외 처리 설정
- 결론
- CVE-2023-20118을 악용한 공격은 에지 장치 관리의 보안 위험성을 보여줌
- 기업은 보안 패치 적용 및 강력한 인증 메커니즘을 통해 위협을 줄여야 함
- 봇넷의 지속적인 탐지 및 대응 체계 구축이 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Rsync 취약점으로 서버 완전 제어 가능 - PoC 공개 (0) | 2025.03.09 |
|---|---|
| MITRE Caldera에서 발견된 치명적 원격 코드 실행(RCE) 취약점(CVE-2025-27364) (0) | 2025.03.08 |
| CISA, Adobe ColdFusion 및 Oracle Agile PLM 취약점 KEV 카탈로그에 추가 (0) | 2025.03.08 |
| 삼성 갤럭시 '보안 폴더' 기능의 보안 취약점 분석 (0) | 2025.03.08 |
| Sliver C2 서버 취약점, TCP 하이재킹을 통한 트래픽 가로채기 가능 (0) | 2025.03.06 |