포스팅 내용

국내외 보안동향

Western Digital SSD 유틸리티 버그, 사용자들 위험에 빠트려

Trivial Bugs in Western Digital SSD Utility Puts Owners at Risk


보안 연구원들이 Western Digital 및 SanDisk SSD 대시보드 애플리케이션에 존재하는 취약점에 대한 세부 내용을 공개했습니다. 


이 취약점은 공격자가 사용자의 컴퓨터에서 임의 코드를 실행하는데 악용될 수 있습니다.


이 애플리케이션은 모두 유틸리티 키트로 SSD 성능 모니터링, 문제 진단, 트러블슈팅 정보 수집을 돕습니다.


이 패키지는 SSD 펌웨어 업데이트 및 드라이브 세부 정보(모델, 용량, SMART 속성)을 읽기 위한 툴을 함께 제공합니다.



중간자 공격(Man-in-the-middle)


해커는 중간자 공격(MitM)에서 이 취약점을 악용하여 시스템 정보를 탈취하거나 애플리케이션 업데이트를 트리거 해 악성코드를 전달할 수 있습니다.


Trustwave의 보안 연구원인 Martin Rakhmanov는 이 결함의 가장 심각한 점은 대시보드의 웹 서비스와 통신할 때 안전하지 않은 HTTP를 사용한다는 것이라고 밝혔습니다.


그는 해당 결함을 어플리케이션과 동일한 컴퓨터에서 운영되는 네트워크 캡처를 통해 발견했으며, SanDisk 사이트와 통신에 HTTPS가 아닌 HTTP를 사용한다는 것이 분명해졌다고 전했습니다.


대시보드가 현재 가능한 업데이트를 요청할 경우, 이는 해당 유틸리티의 최신 버전 번호가 포함된 XML 파일을 받게 됩니다.


XML 파일이 현재 설치된 버전보다 높은 버전을 포함하고 있을 경우, 애플리케이션은 포함된 URL에서 아무런 인증 과정을 거치지 않은 채 새로운 패키지를 다운로드 및 설치합니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/trivial-bugs-in-western-digital-ssd-utility-puts-owners-at-risk/>



공격자가 해당 업데이트 요청을 인터셉트할 경우, 릴리즈 버전을 변경해 업데이트 프로세스를 트리거 할 수 있습니다. 


그리고 악성 서버의 IP 주소를 제공함으로써, 공격자는 피해자의 시스템에 악성코드를 삽입하고 실행할 수 있습니다.


HTTP를 사용하면 중간자 공격에 취약합니다. 공격자는 악성 핫스팟을 사용하여 SanDisk를 사용하는 컴퓨터가 네트워크에 참여하도록 유도하고 악성 콘텐츠를 제공합니다.



이유 없는 데이터 암호화


또 다른 보안 버그(CVE-2019-13466)는 하드코딩된 패스워드입니다. 


이는 CS 직원에게 테스트를 위해 보내는 고객의 보고서를 암호화하기 위한 것입니다.


Rakhmanov는 메인 바이너리 파일인 SanDiskSSDDashboard.exe가 문자열을 덤핑한 후 이 버그를 발견할 수 있었습니다.


그중 한 문자열을 조사해본 결과, 해당 문자열이 하드코딩된 패스워드로 보고서의 정보를 암호화하는데 사용된다는 것을 발견했습니다.


"C:/Program Files (x86)/SanDisk/SSD Dashboard/7za.exe" a -tzip

"C:/SSD_Dashboard_Report.zip"

"C:/Users/martin/Desktop/SSD_Dashboard_Report_msinfo.txt"

"C:/SSD_Dashboard_Report_msinfo.txt" -pS@nD!sk.1


모든 설치 버전이 동일한 패스워드를 포함하고 있어 해당 보고서를 인터셉트한다면, 공격자는 개인 식별 정보나 기타 기밀 정보를 읽을 수 있습니다. 


이달 초 발행된 Western Digital의 권고문에 따르면, 보고서의 암호화를 삭제하고 사용자가 CS 직원에게 직접 보고서를 공유하도록 함으로써 문제를 해결했다고 전했습니다.





출처:

https://www.bleepingcomputer.com/news/security/trivial-bugs-in-western-digital-ssd-utility-puts-owners-at-risk/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/sandisk-ssd-dashboard-vulnerabilities-cve-2019-13466-cve-2019-13467/


티스토리 방명록 작성
name password homepage