포스팅 내용

국내외 보안동향

공격자들이 디폴트 크리덴셜을 사용해 화웨이 라우터를 찾을 수 있는 정보 노출 결함 발견

Information Disclosure flaw allows attackers to find Huawei routers with default credentials


화웨이 라우터 일부 모델들에서 공격자가 악용할 경우 기기에 연결하지 않고도 디폴트 크리덴셜을 사용하는지 여부를 알아낼 수 있는 결점이 발견 되었습니다.


CVE-2018-7900로 등록 된 이 취약점은 라우터의 관리 패널에 존재하며 크리덴셜 정보를 유출합니다. 공격자는 ZoomEye나 Shodan과 같은 IoT 검색 엔진을 사용해 디폴트 패스워드를 사용하는 기기를 인터넷에서 찾을 수 있게 됩니다.


“CVE-2018-7900은 라우터를 공격하는 과정을 단순화합니다. 기기가 디폴트 크리덴셜을 사용하는지 여부에 관계 없이 모든 기기를 공격 시도하는 스프레이 앤 프레이(spray and pray) 기술을 사용하지 않고도, 공격자는 라우터에 연결하지 않아도 라우터 패널이 정보를 유출하기 때문에 디폴트 크리덴셜을 사용하는지 여부를 알아낼 수 있게 됩니다.”


“따라서 공격자는 ZoomEye / Shodan dork를 통해 디폴트 패스워드를 사용하는 기기의 목록을 얻어낼 수 있습니다.”


연구원들은 로그인 페이지의 HTML 소스 코드를 분석 결과 몇 개의 변수가 선언 되었으며, 이들 중 하나는 특정 값을 가지고 있는 것을 발견했습니다. 이 값을 분석하면 기기가 디폴트 비밀번호를 사용하는지 여부를 알아내는 것이 가능합니다.


공격자들은 이 정보를 활용해 IoT 검색 엔진에 쿼리해 기기 및 관련 로그인 목록을 얻어낼 수 있습니다.


연구원들은 CVE-2018-7900로 인해 공격자가 기기를 해킹하기가 얼마나 쉬워지는지 아래와 같이 설명했습니다:

기기를 찾기 위해 인터넷을 스캔할 필요가 없어집니다.


로그인 실패를 겪거나 또는 이 플래그가 없는 일반적인 허니팟을 발견하지 않을 것입니다.


공격자는 ZoomEye에서 기기, 로그인 목록을 쉽게 얻을 수 있으며 최소한의 해킹 기술로도 원하는 행동을 할 수 있게 됩니다.


현재 화웨이는 이 취약점을 수정했으나, 완벽한 해결을 위해 통신사들과 협업 중입니다.


연구원들은 대규모 공격을 피하기 위해 이 취약점의 세부사항을 공개하지 않을 예정입니다.





출처 : 

https://securityaffairs.co/wordpress/79115/hacking/huawei-router-flaw.html

https://blog.newskysecurity.com/information-disclosure-vulnerability-cve-2018-7900-makes-it-easy-for-attackers-to-find-huawei-3e7039b6f44f



티스토리 방명록 작성
name password homepage