상세 컨텐츠

본문 제목

D-Link 홈 라우터에서 패치되지 않은 심각한 보안 취약점 발견

국내외 보안동향

by 알약(Alyac) 2020. 6. 15. 14:30

본문

D-Link leaves severe security bugs in home router unpatched


D-Link가 소비자용 DIR-865L 무선 라우터 모델에 존재하는 보안 취약점 6개 중 3개를 수정하는 펌웨어 업데이트를 공개했습니다. 


패치한 취약점 중 하나는 치명적, 하나는 위험도 높음으로 분류되었습니다.


공격자는 이 취약점을 악용하여 임의 명령어 실행, 민감 정보 탈취, 악성코드 업로드, 데이터 삭제를 할 수 있습니다.


D-Link의 DIR-865L 모델은 2012년 공개되었으며 미국 고객들에게는 더 이상 지원이 제공되지 않지만, 유럽 국가에서는 판매 종료(End of Sale) 상태로 기재되어 있습니다.


End of Sale(EoS)는 제품은 더 이상 판매되지 않지만 공급자가 여전히 지원을 제공한다는 의미입니다.


 

<이미지 출처: https://unit42.paloaltonetworks.com/6-new-d-link-vulnerabilities-found-on-home-routers/>



치명도 높은 취약점


Palo Alto Networks’ Unit 42의 취약점 연구원들은 지난 2월 말 D-Link DIR-865L 라우터에서 취약점 6개를 발견하여 제조 업체에 신고했습니다.


연구원들은 이 라우터가 이후 버전 모델들과 공통 코드 기반을 공유하기 때문에 이후 버전에도 이 취약점이 존재할 수 있다고 평가했습니다. 


아래는 연구원들이 발견한 취약점 목록입니다.



1. CVE-2020-13782: 명령에 사용된 특수 요소의 부적절한 중립화 (명령 인젝션) – 치명적임 – 심각도 점수 9.8 – 수정되지 않음

2. CVE-2020-13786: CSRF취약점 – 높음 – 심각도 점수 8.8 - 수정됨

3. CVE-2020-13785: 부적절한 암호화 강도 – 높음 – 심각도 점수 7.5 – 수정됨

4. CVE-2020-13784: 의사 난수 생성기의 예측 가능한 시드 – 높음 – 심각도 점수 7.5 – 수정되지 않음

5. CVE-2020-13783: 민감 정보 평문 상태 저장 – 높음 – 심각도 점수 7.5 – 수정됨

6. CVE-2020-13787: 민감 정보 평문 상태 전송 – 높음 – 심각도 점수 7.5 – 수정되지 않음



NVD는 명령 인젝션 취약점의 심각도를 ‘치명적’으로 분류했으며 Unit 42 연구원들은 이 취약점을 악용하기 위해서는 인증이 필요하다고 밝혔습니다. 


CSRF 취약점을 통해 인증이 가능하지만 심각도는 더 낮을 것입니다.


이 취약점을 발견해 제보한 Unit 42 연구원 중 한 명인 Gregory Basior는 이 취약점 중 일부를 조합하면 공격자가 네트워크 트래픽에 스니핑하고 세션 쿠키를 훔칠 수 있다고 설명했습니다.


“공격자가 이 정보를 이용하면 관리 포털에 접근하여 파일을 공유하고 악성 파일 업로드, 민감 파일 다운로드, 필수 파일 삭제 등의 행동을 할 수 있습니다. 또한 DoS 공격을 위해 쿠키를 사용하여 임의 명령을 실행하는 것도 가능합니다.”



취약점 중 일부만 수정돼


D-Link는 이 취약점 중 CSRF, 취약한 암호화, 민감 정보 평문 저장 3개만 수정하는 베타 펌웨어 릴리즈를 공개했습니다.


Bleeping Computer는 D-Link에 연락하여 라우터 취약점의 부분 수정에 대한 설명을 요청했지만 답변을 받지 못했습니다.


또한 D-Link 측은 2016년부터 이 제품은 미국에서 더 이상 지원되지 않기 때문에 새로운 모델로 교체할 것을 권장했습니다. 여기에서 D-Link 구 버전 목록을 확인하시기 바랍니다.


라우터는 집안 내 기기를 연결해 주는 중요한 역할을 하고 있지만, 지원 기관이 만료된 후에도 좀처럼 교체되지 않습니다. 


많은 사용자들은 이 기기를 설치한 후 그저 잊어버립니다. 이 기기는 제대로 동작하지 않거나 쓸모가 없어진 경우에만 교체되는 경우가 많습니다.


일반 사용자들이 보안 라우터 업데이트를 설치하는 경우는 많지 않으며 특히 새 펌웨어 버전에 대한 경고 시스템이 없고 처리가 쉬운 업데이트 절차가 없는 경우가 많습니다.





출처:

https://www.bleepingcomputer.com/news/security/d-link-leaves-severe-security-bugs-in-home-router-unpatched/

https://unit42.paloaltonetworks.com/6-new-d-link-vulnerabilities-found-on-home-routers/

관련글 더보기

댓글 영역