□ 개요
Trellix Threat Labs Vulnerability Research 팀에서 여러 DrayTek 라우터에 영향을 미치는 인증되지 않은 원격 코드 실행 취약점(CVE-2022-32548)을 발견했습니다. 장치 관리 인터페이스가 인터넷에 연결되어 구성된 경우, 공격자는 사용자 개입 없이 공격을 수행할 수 있습니다.

□ DrayTek 회사는?
DrayTek은 영국, 베트남, 대만에서 널리 사용하는 SOHO(Small Office and Home Office) 라우터를 만드는 대만 회사입니다. 
대만 회사 DrayTek에서 제조한 SOHO(소규모 홈 오피스용 라우터)는 영국, 베트남, 대만은 물론 러시아를 비롯한 여러 국가에서 널리 사용됩니다. 많은 회사가 재택 근무 정책을 구현했기 때문에 이러한 장치는 중소기업에 직원에게 VPN 액세스를 제공하는 쉬운 방법을 제공합니다.
영향을 받는 모든 모델에는 제조업체의 웹 사이트(https://www.draytek.com/support/latest-firmwares/)에서 다운로드할 수 있는 패치된 펌웨어가 있습니다.

□ 영향받는 제품

취약점에 영향을 받는 장치는 아래 [표 1]과 같습니다.

[표 1] CVE-2022-32548에 영향을 받는 장치

□ CVE-2022-32548 영향
손상된 네트워크 장치는 다음과 같은 다양한 결과를 초래할 수 있습니다.
- 기밀 데이터(키, 비밀번호) 유출
- 로컬 네트워크에 있는 내부 리소스에 대한 액세스
- 라우터를 통해 로컬 네트워크에서 인터넷으로 향하는 DNS 쿼리 및 기타 암호화되지 않은 트래픽 추적
- 라우터의 모든 포트를 통과하는 데이터의 패킷 캡처
- 봇넷 활동(DDoS, 악성 데이터 배치 등).

현재까지는 해당 취약점을 악용하는 공격행위가 관찰되지 않았습니다.

□ Technical Details
취약한 DrayTek 장치의 웹  관리 인터페이스인 “/cgi-bin/wlogin.cgi”의 로그인 페이지에서 버퍼 오버플로우 영향을 받습니다. 공격자는 조작된 사용자 이름 및 패스워드를 aa, bb 필드 내 base64로 인코딩된 문자열로 입력합니다. 이 후 로그인 페이지에서 인코딩된 문자열 크기를 확인하는 과정에서 버퍼 오버플로우가 트리거됩니다. 공격자는 공격 수행을 통해 라우터 기능을 구현하는 DrayOS를 탈취합니다.

□ 공격 탐지 방안
DrayTek 장치의 웹 관리 인터페이스인 /cgi-bin/wlogin.cgi 페이지에 대한 POST 요청 내에서 aa 및 ab 필드를 검증하여 비정상적인 base64 문자열이 식별된다면 취약점을 악용하는 공격으로 간주할 수 있습니다. 공격에 악용되는 base64 문자열은 비정상적으로 많은 %3D 패딩을 갖습니다. 

□ 권장 사항
취약한 DrayTek 라우터를 사용하고 있는 경우, 다음 권장 사항을 제공합니다.
- 최신 펌웨어가 장치에 배포되었는지 확인(https://www.draytek.com/support/latest-firmwares/)
- 장치 관리 인터페이스에서 포트 미러링, DNS 설정, 승인된 VPN 엑세스 및 기타 설정이 변경되지 않았는지 확인
- 2FA 인증 및 IP제한 활성화
- 영향받는 장치의 암호 변경

□ 참고사이트
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html
https://www.draytek.com/support/latest-firmwares/

보안관제센터 MIR Team