포페이스(Four-Faith) 산업용 라우터 취약점: CVE-2024-12856

포페이스의 산업용 라우터에서 발견된 취약점, 실제 공격의 통로가 돼

포페이스의 산업용 라우터에서 발견된 취약점, 실제 공격의 통로가 돼

 

• 취약점 개요
  • 포페이스의 산업용 라우터 모델 F3x24 및 F3x36에서 CVE-2024-12856 원격 명령 주입(RCE) 취약점 발견
  • HTTP 요청의 특정 매개변수를 통해 OS 명령 주입이 가능
  • 벌체크(VulnCheck)가 발견 및 보고, 약 1만 5천 대의 인터넷 연결 장치가 노출된 것으로 확인
• 취약점 세부 정보
  • 취약점 동작
    • HTTP POST 요청에서 submit_type=adjust_sys_time 및 adj_time_year 매개변수에 악성 데이터를 삽입
    • 명령 주입을 통해 공격자는 원하는 명령 실행 및 확인 가능
  • 공격 경로
    • 인터넷 연결 장치에 직접 HTTP 요청 주입
    • 센시스(Censys)를 통해 노출된 장치를 탐색
• 취약점 익스플로잇 사례
  • 2024년 11월 및 12월에 악성 사용자 에이전트를 통해 공격 시도 감지
  • 11월과 12월 사례 간 사용자 에이전트는 동일했으나 페이로드는 상이
  • 공격자의 활동이 반복적이며 지속적인 시도 예상
• 보안 권고
  • 수리카타(Suricata) 규칙 적용
    • 오픈소스 네트워크 탐지 도구인 수리카타를 활용해 취약점 익스플로잇 방지
    • 예제 규칙

      alert http any any -> any any ( \
      msg:"VULNCHECK Four-Faith CVE-2024-12856 Exploit Attempt"; \
      flow:to_server; \
      http.method; content:"POST"; \
      http.uri; content:"/apply.cgi"; startswith; \
      http.header_names; content:"Authorization"; \
      http.request_body; content:"change_action="; \
      content:"adjust_sys_time"; \
      pcre:"/adj_time_[^=]+=[a-zA-Z0-9]*[^a-zA-Z0-9=]/"; \
      classtype:web-application-attack; \
      reference:cve,CVE-2024-12856; \
      sid:12700438; rev:1;)

  • 패치 적용 여부 확인
    • 포페이스에서 패치가 발표되지 않았을 가능성이 있으므로, 사용자들이 직접 펌웨어 업데이트 상태를 점검
  • 대체 방안
    • 라우터의 인터넷 연결 제한 및 방화벽 설정 강화
    • HTTP 요청 필터링 및 로깅 활성화
  • 사용자 차원 조치
    • 라우터 설정 점검 및 미사용 포트 차단
    • 기본 설정 암호를 강력한 암호로 변경
  • 오픈소스 보안 도구 활용
    • 수리카타와 같은 도구를 설치해 네트워크 활동 모니터링 및 공격 방지
    • 설치 자료 및 사용법은 인터넷에서 쉽게 검색 가능
  • 제조사 대응 요청
    • 포페이스 및 유사한 제조사에 취약점 해결을 위한 패치 요청
• 결론
  • 포페이스 라우터의 취약점은 IoT 장비의 보안 문제를 재확인시킴
  • 사용자와 조직은 패치 이외의 보안 완화 방법도 숙지해야 함
  • 오픈소스 도구 활용은 비용 효율적이며 보안 인식 증진에도 기여