파라데이 시큐리티 연구원들은 리얼텍(Realtek RTL819x) 칩을 기반으로 하는 수백만 개의 네트워크 장치에 영향을 미치는 치명적인 취약점을 발견했다고 최근 밝혔다.
이번에 발견된 CVE-2022-27255 취약점은 공격자가 원격으로 라우터 및 액세스 포인트에서 신호 중계기까지 다양한 장비에 접속할 수 있도록 한다.
스택 버퍼 오버플로우 CVE-2022-27255(CVSS:9.8) 취약점은 공격자들이 악성 SDP 데이터와 함께 제작된 SIP 패킷을 활용하여 코드를 실행할 수 있도록 한다. 또한, 장비는 원격제어 기능이 비활성화된 상태에도 손상될 수 있다.
CVE-2022-27255 취약점은 Nexxt Nebula 300 Plus 라우터에서 작동되는 zero-click 취약점이다. 즉 사용자의 개입이 필요 없기 때문에 취약성이 잘 식별되지 않는다. 공격자에게는 취약한 장비의 외부 IP 주소만 있으면 취약점을 악용하는데 어려움이 없다. 또한, 공격자는 UDP 패키지를 임의의 포트로 전송해 취약점을 악용할 수 있다.
리얼텍은 해당 취약점이 rtl819x-eCos-v0.x와 rtl819x-eCos-v1.x 시리즈에 영향을 미치며, WAN 인터페이스를 통해 악용될 수 있다고 전했다. 해당 취약점은 라우터 뿐만 아니라, Realtek SDK 기반으로 구축된 IoT 장비에도 영향을 줄 수 있다.
SANS 연구소 책임 연구원은 공격자들이 취약점 악용을 통해 △장비 시스템 장애 △임의의 코드 실행 △시스템 저장을 위한 백도어 설치 △네트워크 트래픽 리디렉션 △네트워크 트래픽 가로채기 등의 공격을 수행할 수 있다고 설명했다.
또한 보안연구원의 조사에 따르면, 해당 취약점은 웜으로 제작되어 몇 분 안으로 인터넷에 확산될 수 있다.
해당 취약점에 대한 패치는 3월부터 제공되었는데도 불구하고, RTL819x 칩 기반 하드웨어용 Realtek SDK를 사용하고 있는 여러 공급업체가 업데이트를 출시하지 않았기 때문에 아직 수백만 대의 장비에 영향을 주고 있다.
현재 RTL819x 칩을 탑재하는 공급업체가 60곳이 넘지만 정확한 공유기의 수를 확인할 수 없다. 해당 칩을 탑재하는 공유기는 ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, Zyxel 등이 있다. [정보제공. 씨엔시큐리티 SIPS]
★정보보안 대표 미디어 데일리시큐!★
