2024-03-29 22:25 (금)
홈라우터 1백만대 제로데이 취약점으로 해킹에 노출돼
상태바
홈라우터 1백만대 제로데이 취약점으로 해킹에 노출돼
  • hsk 기자
  • 승인 2018.05.09 18:23
이 기사를 공유합니다

다산 GPON 홈라우터 제로데이 취약점...비공식 패치 공개돼

hacking-2300793_640.jpg
지난주 vpnMentor의 보안 연구원들이 다산(Dasan)사가 제조한 기가비트 수동 네트워크 GPON 홈 라우터에 존재하는 취약점 2건을 공개했다.

바로 CVE-2018-10561과 CVE-2018-10562다. 연구원들은 GPON 홈 라우터에 접근하기 위해 인증을 우회하는 방법(CVE-2018-10561)을 발견했고, 이 인증 우회 취약점을 다른 명령 삽입 취약점(CVE-2018-10562)과 연결해 디바이스에서 명령을 실행시킬 수 있었다.

GPON 홈 라우터는 광섬유 인터넷을 제공하는 ISP를 채택하고 있고 이들 장치 중 약 1백만대가 인터넷에 노출되어 있으며 이들 대부분은 멕시코, 카자흐스탄, 베트남에 위치해있다. 두 가지 취약점이 공개된 후, 전문가들은 PoC 익스플로잇 코드 작업에 착수했고, 이탈리아 보안 전문가 Federico Valentini, ICT 보안 전문가 Cefriel은 GPON 홈 라우터에 존재하는 원격 코드 실행 취약점을 위한 파이썬 익스플로잇을 공개했다.

중국 치후 360의 보안 연구원은 GPON 홈 라우터를 대상으로 하는 최소 3개 이상의 캠페인을 발견했고 그 중 하나는 미라이(Mirai) 및 Muhstik 봇넷과 관련이 있다고 언급했다.

vpnMentor 연구원은 제조사의 공식 패치를 기다리면서 두 가지 제로데이에 대한 비공식 패치도 공개했다. 이 비공식 패치는 매우 간단한데, 사용자가 라우터의 로컬 IP 주소를 입력하고 패치 실행 버튼을 클릭하기만 하면 된다. 해당 도구는 브라우저에서 스크립트를 실행해 사용자가 공격자의 진입점을 나타내는 웹 서버를 비활성화할 수 있도록 한다.

vpnMentor의 게시글은 “패치를 위해 사용자는 감염된 라우터 IP를 입력하고 SSH/텔넷 LAN으로만 라우터에 접근할 수 있도록 새로운 비밀번호를 입력하는 것만 하면 된다. 이후에는 우리가 만든 스크립트가 패치를 실행할 것이다”라고 설명하고 있다. 하지만 일단 패치를 실행하면 라우터의 웹 인터페이스가 브라우저에 접근할 수 없게 되므로 웹 서버를 다시 활성화하는 것은 그렇게 쉬운 일이 아니다.

이에 패치 면책 조항은 “해당 패치는 제조업체가 공식적으로 제작한 것이 아니므로 보장되지 않는다. 공식 패치가 공개될 때까지 취약점을 완화하기 위해 만들어졌다. 따라서 이 도구의 사용으로 인해 발생할 수 있는 문제는 우리의 책임이 아니며 사용자가 위험을 감수해야 한다. 이 도구는 쉽게 되돌릴 수 없는 방식으로 웹 서버를 비활성화 한다. 다른 패치 스크립트로 수행할 수 있지만 명령어에 익숙하지 않은 경우 공식 패치가 배포될 때까지 방화벽 장치 설치를 권고한다”고 설명한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★