CVE-2017-9765 : 수백만대의 IoT 기기를 해킹할 수 있는 취약점 발견!

Axis Communications는 세계에서 가장 규모가 큰 보안 네트워크 카메라 제조업체 입니다. 

최근 보안 연구원들은 M3004 보안 카메라를 연구하는 과정에서 스택오버플로우취약점(CVE-2017-9765)를 발견하였으며, 이를 Devil's  Ivy 취약점으로 명명하였습니다. 

해당 취약점을 악용하면 원격코드실행이 가능하며, 원격에서 CCTV에 접근이 가능하게 됩니다. 

보안 CCTV는 일반적으로 중요한 장소(예를들어 은행 창구 등)에 설치하기 때문에, 민감 정보 유출로도 이어질 수 있습니다. 

Axis는 249종의 각기 다른 CCTV모델들이 해당 취약점에 영향을 받는 것을 확인하였으며, 바로 수정하였습니다. 

현재 Axis는 패치된 펌웨어를 배포하고 있으며, 사용자들과 협력사들에계도 빠른 업데이크를 권고하고 있습니다. 

해당 취약점의 영향을 받는 것은 비단 Axis 만은 아냐

이 취약점은 수만종의 IoT 제품을에 영향을 줍니다. 

"Devil's  Ivy" 취약점은 오픈소스  오픈소스 소프트웨어 개발 라이브러리인 gSOAP에도 존재합니다. gSOAP은 전 세계 많은 개발자들이 각종 디바이스를 인터넷에 연결하기 위해 주로 사용합니다. 

이는 즉 gSOAP을 사용한 SW 및 하드웨어들은 모두 해당 취약점에 영향을 받을 수 있다는 뜻이며, 현재까지 해당 취약점에 영향을 받는 디바이스들의 규모는 확인되지 않았습니다. 

연구원들은 서버도 악용될 수 있으며, 만약 클라이언트가 악성 서버로부터 전송된 SOAP 정보를 받는다면, 클라이언트도 해당 취약점에 영향을 받을 수 있다고 밝혔습니다. 

해당 취약점 영향성을 판단하기 위하여 보안연구원들은 Genivia(gSOAP 유지보수 관리 업체)에 연락을 하였고, Genivia에 따르면, gSOAP는 현재까지 1,000,000가 다운로드 되었으며, IBM、Microsoft、Adobe 및 Xerox등의 유명 기업들도 gSOAP의 고객이라고 밝혔습니다. 

gSOAP을 사용하고 있는 기업들은 반드시 최신 버전으로 업데이트 하기를 권고드립니다. 

▶ 업데이트 하러가기

출처 :

http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions