중국산 게이트웨이에서 Root권한의 백도어 발견!

중국산 게이트웨이에서 Root권한의 백도어 발견!

Hidden Backdoor Found in Chinese-Made Equipment. Nothing New! Move Along!

최근 중국기업 DBL Technology에서 생산하는 GoIP GSM 게이트웨이에서 백도어가 발견되었습니다. 이 백도어는 해당 디바이스의 Telnet 서버에 존재하였으며, 해커는 이를 이용하여 인증 메커니즘을 우회하는 취약점을 이용하여 root권한의 shell을 획득할 수 있습니다. 

사실 중국산 디바이스에서 백도어가 발견된 것은 이번이 처음은 아닙니다.

DBL Technology는 중국 심천에 위치한 통신 디바이스 제조사로, GSM 게이트웨이, 인터넷전화 게이트웨이, 기업에서 사용하는 스위치 등 일반적으로 전화회사 및 VoIP 서비스업체들에서 많이 사용합니다. 

구체적으로 말하면, 이 계열의 게이트웨이는 제품설명서 내 사용자가 사용할 수 있는 2개의 Telnet 계정인 "ctlcmd"와 "limitsh" 두 개를 안내하고 있습니다. 이 두 계정은 제한된 권한을 갖고있으며, 사용자에 의해 비밀번호 변경이 가능합니다. 하지만 이번에 발생한 문제는 3번째 계정인 "dblamd"에 존재합니다. 분석에 따르면, 이 계정은 제품 문서 내 포함되어 있지 않으며, 테스트 단계에서 사용된 것으로 추정됩니다. "dbladm"계정은 루트권한을 갖고있으며, challenge-response 인증기술을 사용하고 있습니다. 이 인증방식은 사용자가 로그인 신청하면 challenge를 전송하고, 사용자는 자신의 비밀키 혹은 특정 알고리즘으로 암호화 된 challenge 정보(response)를 서버에 전송하여 인증을 받는 방법 입니다. 

하지만 보안연구원들은, 이 메커니즘은 매우 쉽게 우회할 수 있다고 말했습니다. 사용자에게 challenge 코드를 전송하는 것은 디바이스의 ROM 중 "sbin/login"하위에서 관장하며, 이 코드들의 리버스 엔지니어링을 통하여 쉽게 challenge 값을 획득할 수 있습니다. 해커는 이렇게 획득한 값을 이용하여 대응하는 MD5 해시값을 계산하여 response 값을 만들어 낸 후 전송하면 로그인이 완료되는 것입니다. 또한 challenge값은 심지어 자동화된 스크립트를 통해서도 획득할 수 있습니다. 이러한 절차가 끝나면, 해커는 디바이스를 완전히 장악하여 트래픽 스니핑, DDoS 공격에 이용 등 다양한 악성행위를 할 수 있습니다. 

이번 백도어를 발견한 보안 기업은 10월 13일, 백도어 관련 문제에 대한 분석보고서를 해당 제조사에 전달하였습니다. 그리고 해당 제조사는 12월 22일 업데이트 된 펌웨어 버전을 공개하였습니다. 하지만 분석결과, 새로 업데이트 한 펌웨어에서도 여전히 동일한 문제가 발견되었으며, 단지 인증 메커니즘이 약간 복잡하게 바뀐것 뿐이였습니다. 보안기업 Trustwave는 보고서에서 다음과 같이 언급했습니다. 

"DBL Technology 기술자는 이번 문제의 근본 원인이 쉽게 우회될 수 있는 부분에 있는게 아닌 인증 메커니즘에 존재하는 취약점 때문이라고 생각하는것 같다."

영향받는 게이트웨이

GoIP 1,4,8,16,32

출처 :

https://www.bleepingcomputer.com/news/security/hidden-backdoor-found-in-chinese-made-equipment-nothing-new-move-along/