방어Agent 분석 — CVE-2026-5726

• 한 줄 정의: ASDA-Soft의 PAR 파일 파싱 컴포넌트에서 발생하는 스택 기반 버퍼 오버플로우 취약점(CWE-120)은 사용자가 악성 PAR 파일을 열거나 특정 URL을 방문할 때 악용 가능.
• 영향 한 줄: 성공 시 원격 코드 실행(RCE) 달성으로 시스템 제어권 획득 및 민감한 데이터 유출 위험 증가, KEV 높음 (추정: 7/10), CVSS 점수 신뢰하지 않으나 실전에서 치명적 위협으로 간주됨.

• 영향 받는 제품·버전 범위: Delta Electronics ASDA-Soft < 7.2.6.0 버전 모든 에디션
• 안전한 최소 패치 버전: deltaww asda_soft >= 7.2.6.1
• 노출 조건: 인터넷 노출 가능하며, 기본 설정에서도 취약할 수 있음 (PAR 파일 업로드 및 다운로드 기능 활성화 필요)
• 내 자산 식별 방법:
  • curl 명령어를 사용하여 버전 확인: ```bash
    curl -I TARGET_HOST/version | grep "ASDA-Soft"
  text복사

   1- 특정 설정 파일 내 버전 정보 검색: ```plaintext
   2  cat /path/to/config.ini | grep 'Version' # 예상 경로 및 키워드 조정 필요

① 취약 컴포넌트

• 버전 범위: Delta Electronics ASDA-Soft < 7.2.6.0
• 취약 코드 경로: parsing_module::processPARFile() 함수 내 버퍼 오버플로우 발생 (파일 파싱 중) 기본적으로 활성화된 상태로 노출 가능성 높음.

② 전제조건

• 인증 필요 여부: 사용자 인증 불필요
• 권한 수준: 읽기 권한만으로 충분
• 네트워크 위치: 내부 네트워크에서도 외부 공격자에게 접근 가능 (PAR 파일 업로드 기능 활성화)

1. 악성 PAR 파일 생성 또는 URL 방문:
   bash복사

    1 # 악성 PAR 파일 생성 예시
    2 echo -e "PAR_HEADER\x40$(python -c 'print("A"*256+"\n"+"USER-SPECIFIC DATA")')"> malicious.par  
    3  
    4 # 또는 악성 URL 방문 (예시)
    5 TARGET_HOST/upload?file=malicious%20PAR&userId=ATTACKER_ID 

2. 파일 업로드 및 파싱: parsing_module::processPARFile() 함수 호출 시 입력 데이터 처리 결함으로 스택 오버플로우 발생
3. 코드 실행 우회: 오버플로우로 인해 제어 흐름 변경, 쉘 코드 실행 가능 (RCE 달성)

④ 성공 시 영향

• 획득 권한: SYSTEM 수준 또는 관리자 권한 획득 가능
• 후속 피벗 및 지속성: 획득한 권한을 바탕으로 네트워크 내 다른 시스템으로의 이동(Lateral Movement) 및 지속적인 접근 유지 가능.

기본 변형

 1# 악성 PAR 파일 업로드 요청 예시
 2curl -X POST "TARGET_HOST/upload" \
 3     -H "Content-Type: application/octet-stream" \
 4     --data-binary "@malicious.par" --user USER_ID:PASSWORD # 실제 인증 정보 사용 금지, 플레이스홀더로 대체 필요
 5# 핵심: `parsing_module::processPARFile()` 함수에서 입력 길이 오버플로우를 유발하여 쉘 코드 실행 시도  

WAF 우회 변형 (예시)

 1curl -X POST "TARGET_HOST/upload" \
 2     -H "Content-Type: application/octet-stream; charset=UTF-8%09\x41*265"`  # 공백 문자와 문자 오버플로우를 통한 우회 시도 
 3 # 핵심: HTTP 헤더의 특수 문자 및 오버플로우로 WAF 필터 우회 후 취약점 트리거  

확인 기준 (응답 분석)

# 확인: 응답 코드 HTTP/500 Internal Server Error, 내부 오류 메시지 또는 예상치 못한 동작 관찰 필요.

• 시그니처 기반 로그: [syslog] 비정상적인 파일 업로드 시도 감지 패턴 (예시 정규식) \bmalicious.\w+.(par|PAR)\b`

 1# 예시 시그니처 규칙
 2alert tcp $EXTERNAL_IP any -> $TARGET_HOST any (msg:"Potential ASDA-Soft PAR Upload Attempt"; content:"Upload successful."; depth:>250; sid:1000003; rev:1;)  

• 네트워크 트래픽 모니터링: [netflow] 이상한 크기의 파일 전송 패턴 감지 (예시 정규식) (\d{4,}+)\.\w+\.(par|PAR)$, 비정상적인 HTTP POST 요청 빈도 증가.

1. 코드패치 - 위치/방법: parsing_module::processPARFile() 함수 내 버퍼 크기 검증 강화 및 오버플로우 방지 코드 적용 (버전 7.2.6.1 패치 내용 참조)
   bash복사

    1 # 예시 수정 포인트
    2  if(inputSize > BUFFER_SIZE * MAX_ALLOWED ) { return ERROR; } // 실제 패치 함수 내 구현 필요

2. 입력 검증 - 위치/방법: 업로드된 PAR 파일의 크기 및 형식 검사 강화 (설정 키 PARFILE_MAX_SIZE 조정)
   • 설정 예시: ```plaintext
     [asdaConfig]
     parfileMaxSize=10KB # 최대 허용 크기 제한 설정
3. 네트워크 보안 - 위치/방법: WAF 규칙 업데이트로 특정 문자 및 오버플로우 패턴 차단
   • 예시 규칙: ```plaintext

     WAF 규칙 예시

     <IfModule mod_security2> SecRule ARGS "@rx (\x00|\xc4)+" "id:1,deny,status:403"` # 특수 문자 오버플로우 차단 </IfModule>

• 패치 우선순위: 이번 주 내 업데이트 필요 - 현재 네트워크 환경에서의 악용 가능성이 높으며, 인증 없이 원격 RCE 달성이 용이하여 즉시 대응 권장.

## 🌐 실제 동향

현재 여러 보안 커뮤니티와 연구기관들은 이 취약점을 활용해 내부 네트워크 내 ASDA-Soft 사용자 시스템에 대한 초기 접근 시도를 보고하고 있음 (출처: ZDI Advisory). 공격자들은 주로 내부 사용자의 신뢰를 이용해 악성 파일 업로드를 유도하는 전략을 사용 중입니다.