Siklu EtherHaul EH-8010 장치에서 발견된 심각한 RCE 취약점 (CVE 미할당)

Siklu EtherHaul EH-8010의 심각한 원격 명령 실행 취약점

보안 연구원들은 Siklu의 EtherHaul EH-8010 시리즈 무선 라디오에서 심각한 인증되지 않은 원격 명령 실행(Remote Command Execution, RCE) 취약점을 발견했습니다. 이 취약점은 공격자가 영향을 받는 장치를 완전히 제어할 수 있는 잠재적 위험을 초래합니다. 해당 익스플로잇(EDB-ID: 52466)은 보고 시점까지 CVE 식별자가 할당되지 않은 상태로 Exploit Database에 게시되었습니다.

기술적 세부 사항

이 취약점은 기업 및 통신사급 네트워크에서 사용되는 고용량 무선 라디오인 EtherHaul EH-8010 장치의 웹 관리 인터페이스에 존재합니다. 이 결함은 장치의 웹 인터페이스에서 부적절한 입력 검증으로 인해 발생하며, 공격자가 특수하게 조작된 HTTP 요청을 통해 루트 권한으로 임의의 명령을 실행할 수 있습니다.

주요 기술적 특징:

• 공격 벡터: 원격(네트워크 접근 가능)
• 인증: 인증되지 않음(자격 증명 불필요)
• 권한 수준: 루트 접근
• 익스플로잇 가용성: 공개된 개념 증명(Exploit-DB 52466)
• 영향 받는 버전: 특정 펌웨어 버전 아직 공개되지 않음

영향 분석

Siklu EtherHaul EH-8010 장치를 네트워크 인프라에 활용하는 조직에는 다음과 같은 중대한 위험이 존재합니다:

1. 완전한 시스템 침해: 공격자가 루트 권한으로 명령을 실행하여 무선 라디오 장치를 완전히 제어할 수 있습니다.
2. 네트워크 전파: 침해된 장치가 기업 네트워크 내에서 횡적 이동의 거점으로 활용될 수 있습니다.
3. 데이터 가로채기: 영향을 받는 장치를 통과하는 무선 트래픽을 가로채거나 조작할 수 있습니다.
4. 지속성 메커니즘: 취약한 장치에 백도어나 멀웨어를 설치할 가능성이 있습니다.

권장 조치 사항

보안 팀은 위험을 완화하기 위해 즉각적인 조치를 취해야 합니다:

1. 임시 완화 조치: 방화벽 규칙을 통해 웹 관리 인터페이스 접근을 제한하고, 신뢰할 수 있는 IP 주소만 허용합니다.
2. 모니터링: EtherHaul 장치를 대상으로 한 의심스러운 활동을 강화된 로깅 및 모니터링으로 감시합니다.
3. 벤더 연락: Siklu 지원팀에 공식 패치 및 펌웨어 업데이트를 문의합니다.
4. 네트워크 세분화: EtherHaul 장치를 엄격한 접근 제어가 적용된 전용 네트워크 세그먼트에 격리합니다.
5. 익스플로잇 탐지: 공개된 개념 증명을 이용한 공격 시도를 탐지하기 위해 IDS/IPS 시그니처를 배포합니다.

Siklu는 아직 이 취약점에 대한 공식 보안 권고나 패치를 발표하지 않았습니다. 공개된 익스플로잇 코드가 존재하는 만큼, 조직은 이를 활성 위협으로 간주해야 합니다.