DELL SupportAssist 소프트웨어에서 원격 코드 실행 취약점 발견돼

Pre-Installed Software Flaw Exposes Most Dell Computers to Remote Hacking

보안 연구원인 Bill Demirkapi가 대부분의 델 컴퓨터에 탑재되어 출시되는 SupportAssist 유틸리티에서 치명적인 원격 코드 실행(RCE) 취약점을 발견했습니다.

Dell SupportAssist(구 Dell System Detect)는 사용자 컴퓨터 시스템의 하드웨어와 소프트웨어의 상태를 검사합니다.

이 유틸리티는 델의 지원 웹사이트와 상호작용하고 자동으로 델 제품의 서비스 태그나 익스프레스 서비스 코드를 탐지합니다.

또한, 기존 장치 드라이버를 스캔하여 누락되었거나 설치 가능한 드라이버를 설치하며, 하드웨어 진단 테스트도 실행하도록 설계되어 있습니다.

Dell SupportAssist는 사용자 시스템의 백그라운드에서 8884, 8883, 8886, 8885 포트를 통해 로컬에서 웹 서버를 실행합니다.

그리고 수많은 명령을 URL 파라미터로 받아들여 시스템 세부 정보 수집, 원격 서버로부터 소프트웨어 다운로드 및 설치 등 이미 정의된 작업들을 실행합니다.

이 로컬 웹 서비스는 "Access-Control-Allow-Origin" 응답 헤더를 사용하여 보호되어 있습니다.

“dell.com” 웹사이트나 서브 도메인의 명령만을 수락하도록 제한하는 몇 가지 검사 과정이 있지만, Demirkapi는 이러한 보호장치를 우회하는 방법을 발견했습니다.

<이미지 출처: https://thehackernews.com/2019/05/dell-computer-hacking.html>

Demikapi는 원격 해커가 취약한 델 컴퓨터에서 원격 서버로부터 악성코드를 쉽게 다운로드 및 설치하고 컴퓨터에 대한 전체 제어 권한을 얻는 방법에 대한 [PoC 코드]를 시연했습니다.

취약한 시스템과 네트워크 접근 레이어를 공유하는 인증되지 않은 공격자는 공격자가 호스팅하는 사이트의 SupportAssist 클라이언트를 통해 임의 실행파일을 다운로드 및 실행하도록 사용자를 속여 취약한 시스템을 손상시킬 수 있습니다.

CVE-2019-3719로 등록된 이 원격 코드 실행 취약점은 Dell supportAssist 클라이언트 버전 3.2.0.90 이전 버전에 존재합니다.

이 연구원은 취약점에 대한 세부 내용을 공개하기 전, Dell의 보안 팀에 제보했으며 DELL 측은 해당 취약점이 수정된 업데이트 버전을 출시했습니다.

또한, 원격 공격자가 사용자의 시스템에서 CSRF 공격을 시도하도록 허용하는 SupportAssist 소프트웨어의 부적절한 출처 유효성 검사 취약점 CVE-2019-3718도 수정했습니다.

해커들이 이 취약점을 악용하여 시스템 전체 제어권 탈취를 방지하기 위해, 취약점이 해결된 Dell SupportAssist 3.2.0.90 또는 이후 버전을 설치하시기 바랍니다.

그리고 필요하지 않을 경우 SupportAssist 프로그램을 제거하기를 권장 드립니다.

※ Dell SupportAssist 업데이트 바로가기

출처:

https://thehackernews.com/2019/05/dell-computer-hacking.html

https://d4stiny.github.io/Remote-Code-Execution-on-most-Dell-computers/

https://www.dell.com/support/article/kr/ko/krdhs1/sln316857/dsa-2019-051-dell-supportassist-client-multiple-vulnerabilities?lang=en