에이수스, 자이젤, 레노버, 넷기어 등 유명 제조사들에서 나온 제품들
웹 애플리케이션 취약점은 거의 모든 장비에 존재...연락하기 힘든 회사도 있어[보안뉴스 문가용 기자] 에이수스(Asus), 자이젤(Zyxel), 레노버(Lenovo), 넷기어(Netgear) 등에서 만든 소규모 사무실 및 가정용 라우터와 NAS 장비에서 100개가 넘는 취약점이 발견됐다. 보안 업체 ISE(Independent Security Evaluators)가 13개의 모델들을 독자적으로 실험 및 분석한 결과라고 한다.
[이미지 = iclickart]
ISE가 이번 조사를 통해 발견한 취약점의 총 개수는 125개다. 13개의 모델을 대상으로 침투 테스트를 실시했다고 하며, 여기에는 저렴한 가격의 일반 장비에서부터 고가의 기업용 장비까지 포함되어 있다고 한다. 그러나 그 어느 것도 만족할 만한 보안성을 보여주지는 못했다.
“저희가 실험한 13개 장비 모두 최소 한 개 이상의 웹 애플리케이션 취약점을 가지고 있었습니다. XSS나 OS 명령 주입, SQL 주입 취약점 등이 어디에나 있었다는 겁니다. 이러한 취약점들의 경우 공격자가 원격에서 접근해 관리자급 권한을 가져갈 수 있게 됩니다.” ISE의 설명이다.
“13개 중 12개 장비에서는 루트 셸(root shell)을 확보하는 데 성공했습니다. 즉 장비의 완전한 장악과 통제가 가능했다는 것입니다. 이 중 6개는 인증 과정을 통과할 필요도 없이 원격에서 익스플로잇을 할 수도 있었습니다. 이 여섯 개는 The Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000, TOTOLINK A3002RU입니다.”
이 중 Buffalo TeraStation TS5600D1206라는 장비는 기업용 수준의 고급 NAS로, 사용자가 장비 내에서 실행 중인 서비스를 관리할 수 있게 해주는 웹 애플리케이션 기능을 가지고 있다. 그러나 쿠키를 처리하는 부분에서 문제가 발견됐다. 익스플로잇에 성공할 경우 서비스를 공격자 마음대로 끄거나 켤 수 있고, 웹 애플리케이션을 통해 다른 기능을 수행하는 것도 가능하게 된다.
Netgear Nighthawk X10 R9000라는 장비의 경우, 고가의 하이엔드 플래그십 라우터인데, 코드 주입 공격에 취약한 것으로 나타났다. “이 장비는 SOAP을 기반으로 한 모바일 애플리케이션을 통해 관리자가 네트워크 환경설정을 조정하거나 장비 로그를 열람할 수 있게 해주는 기능을 가지고 있습니다. 이 부분을 실험해보니 특정 HTTP 헤더를 처리하는 데에 있어서 문제가 나타났습니다. 헤더의 내용을 클라이언트의 실제 IP 주소로 해석하고, 이전 값을 전부 오버라이드시킨다는 겁니다. 뿐만 아니라 자신의 IP 주소에서 오는 모든 요청들을 화이트리스트 처리한다는 특징도 가지고 있었습니다. 이 경우 인증 없이 API를 내부에서 사용할 수 있게 됩니다.”
이 두 가지 문제가 합쳐질 경우, 공격자는 SOAP API와 관련된 모든 인증 확인 과정을 우회할 수 있게 된다고 ISE는 설명한다. “특정 HTTP 헤더를 클라이언트가 제어하고 있고, 장비가 제대로 된 밸런서(balancer)나 리버스 프록시로 보호되지 않기 때문입니다.”
그러면서 ISE는 라우터나 NAS에 보편적으로 도입된 기본 보안 장치들을 전반적으로 조사할 수 있게 되었다. 그리고 일부 장비에는 꽤나 향상된 보안 기능이 탑재되어 있다는 사실도 발견할 수 있었다고 한다. “예를 들어 에이수스의 라우터들은 주소 공간 레이아웃 무작위화(ASLR) 기능을 가지고 있었습니다. 버퍼 오버플로우 공격을 훨씬 더 어렵게 해주는 기능이죠. 또 일부 제조사들은 리버스 엔지니어링을 어렵게 만드는 장치를 탑재시키기도 했습니다. 테라마스터 F2-420의 경우 PHP 웹 애플리케이션을 위한 파일들을 암호화 하기도 합니다. 시게이트의 STCR3000101은 고유의 요청 무결성 확인 장치로 HTTP 요청 조작 공격을 무력화시키고 합니다.”
그러나 이런 고급 기능을 가지고 있다고 해서 보안이 완벽한 것은 결코 아니었다. “CSRF 방지 토큰이나 브라우저 보안 헤더 등 기본적인 것들이 잘 갖춰진 장비를 거의 보지 못했습니다. 사실상 없다고 봐도 무방합니다. 향상된 보안 기술을 보유하고 있더라도 기본적인 부분을 지켜야 하는 건, 보안이 여러 층위에서 이뤄져야 하는 것이기 때문입니다. 그걸 잘 이해 못하는 것 같습니다.”
ISE 측은 이러한 취약점들을 공개하기에 앞서 제조사들에 먼저 알렸다. 대부분 답장을 보내고 적절한 조치를 취해 문제를 해결했다. 그러나 드로보(Drobo), 버팔로 아메리카스(Buffalo Americas), 시온콤 홀딩즈(Zioncom Holdings)는 아직 아무런 반응을 보이지 않고 있다. 답장도 없고, 패치도 없는 상태라는 것이다.
그러나 마지막 순간에 ISE는 드로보 측과 연락이 닿았다. “그래서 저희가 찾아낸 결과를 전부 제공했습니다. 하지만 아직까지 최초 연락 이후 답장이나 패치가 없습니다. ISE는 다시 한 번 이전 메일을 통해 전송했던 자료를 보내줬고, 지금은 두 번째로 답을 기다리는 상태입니다.”
3줄 요약
1. 라우터와 NAS 13종 점검했던, 취약점 125개 나옴.
2. 꽤나 유명한 회사들의 제품들도 한 결 같이 보안 기본기 부족.
3. 향상된 보안 기능 있으면 뭐하나, 기본적인 다층 방어가 안되는데.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=83043&page=1&kind=1]
