Some D-Link and Comba WiFi Routers Leak Their Passwords in Plaintext
SpiderLabs 연구원들이 D-link, Comba Telecom 제조사의 라우터 모델 일부에서 크리덴셜을 안전하게 보관하지 않아 해당 네트워크를 사용하는 사용자와 시스템에 영향을 줄 수 있는 보안 취약점을 발견했습니다.
연구원은 보통 홈 네트워크와 ISP를 연결하기 위해 설치되는 D-Link DSL 모뎀과 Comba Telecom WiFi 기기에서 취약점이 발견되었다고 전했습니다.
공격자는 이 취약점을 통해 기기 설정 변경, 민감 정보 추출, 중간자 공격 실행, 피싱 또는 악성 사이트로 사용자 이동 등 다양한 공격을 실행할 수 있습니다.
D-Link WiFi 라우터 취약점
첫 번째 취약점은 듀얼 밴드 D-Link DSL-2875AL 무선 라우터에 존재합니다.
"https://[라우터 IP 주소]/romfile.cfg"에 위치한 파일에 기기의 로그인 비밀번호를 평문 형태로 포함하고 있어 웹 기반 관리 IP 주소에 누구나 인증 없이 접근이 가능합니다.
<이미지 출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/multiple-vulnerabilities-in-comba-and-d-link-routers/>
취약한 라우터가 인터넷에 연결되어 있을 경우, 공격자는 "https://[라우터 IP 주소]/index.asp" 주소에서 HTML 소스 코드를 확인하는 것으로 피해자의 ISP 크리덴셜을 얻을 수 있습니다.
연구원들은 1월 초 D-Link에 해당 취약점에 대해 신고했으나, D-Link는 펌웨어 패치를 9월 6일에서야 공개했습니다.
Comba Wi-Fi 액세스 컨트롤러 취약점
Comba AC2400 WiFi Access Controller에 존재하는 취약점은 아무런 인증 과정 없이 아래의 URL에 접속하기만 하면 기기 패스워드의 MD5 해시를 노출시킵니다.
https://[라우터 IP 주소]/09/business/upgrade/upcfgAction.php?download=true
아래 그림처럼 계정명이 admin이고, 시스템 권한을 가지고 있으며 패스워드 md5는 61d217fd8a8869f6d26887d298ce9a69라는 것을 확인할 수 있습니다.("trustwave" 테스트 결과임)
<이미지 출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/multiple-vulnerabilities-in-comba-and-d-link-routers/>
MD5는 SSH/Telnet이 활성화된 경우 매우 탈취하기 쉽습니다. 이로써 공격자는 기기의 파일 시스템 전체를 제어할 수 있게 됩니다.
다른 취약점은 Comba AP2600-I WiFi Access Point(버전 A02, 0202N00PD2)에 영향을 미칩니다.
이 취약점도 웹 기반 관리 로그인 페이지의 소스코드에서 사용자 계정 및 비밀번호의 MD5 해시를 유출시킵니다.
또 다른 취약점은 "https://[라우터 IP 주소]/goform/downloadConfigFile"에 위치한 SQLite 데이터베이스 파일에 저장된 크리덴셜을 평문 상태로 유출시킵니다.
Comba Telecom 라우터에서 발견된 취약점 3개는 아직까지 패치되지 않은 상태입니다. 회사가 이 취약점을 수정할 계획 여부 또한 불투명합니다.
출처:
https://thehackernews.com/2019/09/router-password-hacking.html
Astaroth 스파이 트로이목마, 추적 피하기 위해 페이스북과 유튜브 사용해 (0) | 2019.09.17 |
---|---|
가상화폐 지갑에서 돈을 훔치는 InnfiRAT 트로이목마 발견 (0) | 2019.09.16 |
은밀히 데이터를 추출하기 위해 윈도우 BITS 서비스를 사용하는 악성코드 발견 (0) | 2019.09.10 |
서버와 웹사이트를 공격하는 Lilocked 랜섬웨어 발견 (0) | 2019.09.09 |
이메일 서버, Exim TLS 결함으로 원격 'Root' 코드 실행 공격에 노출돼 (0) | 2019.09.09 |
댓글 영역