보안 전문가인 안드레아 파브리지(Andrea Fabrizi)는 삼성테크윈 DVR(디지털 영상저장장치)에서 제로데이 취약점을 발견했다며, 이를 버그트랙(BugTraq) 메일링 리스트를 통해 공개했다.
 
이는 HTTP 요청에 임의 쿠키를 사용하는 간단한 방법으로 인증되지 않은 사용자가 보호 페이지에 접근하는 것을 허용하는 취약점이다.

 
파브리지에 따르면, 삼성테크윈은 자사의 모든 DVR 제품에서 거의 동일한 펌웨어를 제공한다. 이 회사의 DVR 펌웨어는 내장형 리눅스 시스템을 기반으로 하고 있으며, 사용자 인터페이스를 위해 CGI 페이지와 lighttpd 웹서버를 사용한다.
 
DVR 인증 과정에서는 DATA1(사용자명)과 DATA2(비밀번호)가 사용되며, 이는 base64로 인코딩된다. 문제는 대부분의 CGI 페이지 세션 체크가 잘못 설계돼 보호 페이지에 접근할 수 있고, HTTP 요청에 임의의 쿠키를 사용함으로써 취약점이 악의적인 공격에 이용될 수 있다는 것이다.
 
이번 취약점을 통해 인증되지 않은 사용자는 사용자명과 비밀번호를 설정 및 삭제, DVR 일반 구성 변경, 그리고 NTP 서버 내용 변경 등을 수행할 수 있다. 취약한 것으로 알려진 CGI로는 /cgi-bin/camera_privacy_area, /cgi-bin/dev_devinfo, /cgi-bin/dev_monitor, /cgi-bin/net_ddns, /cgi-bin/net_group, /cgi-bin/net_user, /cgi-bin/net_snmp, /cgi-bin/setup_user, /cgi-bin/setup_userpwd 등이 있다.
 
현재 삼성테크윈은 해당 취약점을 인지하고 있는 상태이며 취약점 패치를 위해 대응중에 있다고 밝혔다. 삼성테크윈 DVR은 국내 뿐만 아니라 해외 수출도 많이 되고 있는 상황이라 신속한 패치가 필요하다.  
 
데일리시큐 호애진 기자 ajho@dailysecu.com