본문 바로가기
잡학IT

CVE-2024-1212 분석: Kemp LoadMaster 관리자 RCE 취약점 대응 및 탐지 방법

by 프우마 2025. 6. 13.

CVE-2024-1212 분석: Kemp LoadMaster 관리자 RCE 취약점 대응 및 탐지 방법

2024년 초, Kemp LoadMaster 제품에서 심각한 보안 취약점인 CVE-2024-1212가 보고되었습니다. 이 취약점은 인증 없이 원격에서 명령을 실행할 수 있는 원격 코드 실행(RCE) 문제로, 관리자 웹 인터페이스를 통해 발생합니다. 본 글에서는 이 취약점의 개요, 공격 흐름, 대응 방법 및 탐지 룰을 정리하였습니다.

🛠️ 1. 취약점 개요

  • CVE 번호: CVE-2024-1212
  • 영향 제품: Kemp LoadMaster 버전 7.2.48.1 ~ 7.2.59.2
  • 심각도: CVSS 9.8 (Critical)
  • 취약점 유형: 인증 우회 기반 명령 인젝션 (Command Injection)
  • 영향 범위: 인증 없이 웹 인터페이스에서 시스템 명령 실행 가능

이 취약점은 관리자 웹 인터페이스의 /access 경로에서 Bash 스크립트로 전달되는 입력값이 적절히 검증되지 않아, 외부 사용자가 명령어를 삽입해 시스템 명령을 실행할 수 있게 됩니다.

🧩 2. 공격 흐름 요약

공격자는 인터넷에 노출된 LoadMaster 웹 관리 페이지의 /access 엔드포인트를 활용하여, HTTP GET 또는 POST 요청에 명령어 인젝션을 시도합니다. 시스템 내부적으로 해당 입력이 system() 함수에 전달되며, 인증 없이도 쉘 명령이 실행되는 구조입니다.

예를 들어 다음과 같은 HTTP 요청을 통해 공격이 가능합니다:

GET /access?cmd=;id; HTTP/1.1

⚠️ 주의: 본 포스팅에서는 PoC 코드를 직접 제공하지 않으며, 교육 및 대응 목적으로만 공격 흐름을 설명합니다.

🔒 3. 대응 방안

✅ 패치 적용

  • Kemp는 7.2.59.2.22338 이상 버전에서 해당 취약점을 패치하였습니다.
  • 가급적 즉시 최신 버전으로 업데이트하세요.

✅ 접근 제한

  • LoadMaster 관리자 웹 UI는 인터넷에 직접 노출하지 마세요.
  • 방화벽 또는 VPN을 통해 내부 네트워크 또는 관리 IP에서만 접근 가능하도록 설정하세요.

✅ WAF/IPS 규칙

  • URL 내 /access + 쉘 관련 문자열 포함 요청 차단
  • 입력값에 세미콜론(;) 등 명령어 삽입 징후 필터링

🕵️ 4. 탐지 룰 샘플 (Splunk, Suricata, EDR)

📘 Splunk 룰 (웹 요청 기반)


index=web_logs sourcetype="access_combined"
uri_path="/access" uri_query="*"
| regex uri_query=";\w+;"
| stats count by src_ip, uri_query

📘 Suricata / Snort 룰


alert http any any -> $HOME_NET any (
  msg:"CVE-2024-1212 Kemp LoadMaster command injection attempt";
  flow:to_server,established;
  uricontent:"/access";
  pcre:"/\;.*\;/";
  sid:2024061212; rev:1;
)

📘 EDR 탐지 룰 예시


Title: LoadMaster RCE via Unauthenticated Access
Detection:
  SourceProcessImage: "*\\httpd.exe"
  CommandLine|contains: "/access?cmd="
  ChildProcessImage:
    - "*\\bash"
    - "*\\sh"
    - "*\\python"

📚 5. 출처 및 참고자료

본 글은 보안 연구 및 침해 대응 목적의 기술 정보 제공을 위한 것입니다. 실제 시스템에 대한 무단 테스트나 침해 행위는 법적 처벌을 받을 수 있습니다. 

 

'잡학IT' 카테고리의 다른 글

touch -m -d 명령어 분석: 사용자, 해커, 보안 분석자 관점에서 보기  (0) 2025.06.18
kobert 설치하기  (0) 2025.06.15
2025년 6월 12일 "한국 증시 마감: 정책 수혜주 강세, 테마주는 조정세"  (3) 2025.06.12
📌 오늘의 정보보안 동향 (2025/6/12)  (1) 2025.06.12
위협분석 보고서 리스트  (0) 2025.06.10

관련글

티스토리툴바