□ 개요 o 지니언스社 Genian NAC에서 SOAP RPC 요청을 활용하여 관리자 권한을 탈취하고, 관리자 페이지를 통해 쉘을 획득하여 연결된 전체 노드에 SYSTEM 권한의 원격 코드 실행이 가능한 취약점 취약점 종류 영향 심각도 CVSS 점수 CVE-ID 부적절한 입력 값 검증 원격 코드 실행 Critical 9.6 CVE-2021-26622   □ 설명 o Genian NAC에는 SSTI 취약점이 존재하여 공격자는 Java invoke를 통해 원하는 Java Method를 호출 가능하며, 이를 통해 리버스 쉘의 탈취 또한 가능 o NAC 에이전트의 커스텀 아이콘을 설정할 수 있는 메뉴에서 아이콘 업로드 기능의 파일명이 Front-End단에서만 처리되어 value 값 변경을 통해 입력한 파일명으로 아무런 제한 없이 파일 등록 가능 o 이러한 취약점들의 영향과 NAC 에이전트가 동작 특성상 시스템 권한으로 작동하는 점을 이용하여 별도의 권한상승 작업 없이도 공격자는 시스템을 장악할 수 있게 됨 □ 영향받는 제품 및 버전 제품 영향 받는 버전 환경 Genian NAC Suite V4.0 4.0.145.0831 이하 버전 윈도우 Genian NAC V5.0 Genian NAC Suite V5.0 5.0.42.0827 이하 버전  □ 해결 방안 o 취약한 버전의 Genian NAC Suite V4.0 제품 이용자는 4.0.145.0906 이상 버전으로 설치 o 취약한 버전의 Genian NAC V5.0 및 Genian NAC Suite V5.0 제품 이용자는 5.0.42.0906 이상 버전으로 설치 □ 참고 o https://genians.co.kr/products/genian-nac/?gclid=EAIaIQobChMI5qvMmPPE9gIVoZvCCh3rMANmEAAYASAAEgJuCvD_BwE □ 기타 o 취약점 KrCERT 홈페이지를 통해 이종호님께서 제공해주셨습니다. □ 작성 : 침해사고분석단 취약점분석팀