GeoVision의 지문 및 카드 스캐너에서 치명적인 취약점 및 백도어 발견

Critical Bugs and Backdoor Found in GeoVision's Fingerprint and Card Scanners

대만의 비디오 감시 시스템 및 IP 카메라 제조사인 GeoVision이 카드 및 지문 스캐너의 치명적인 취약점 4개 중 3개를 패치했습니다. 

공격자가 이를 악용할 경우 네트워크 트래픽에 인터셉트하고 중간자 공격을 실행할 수 있었습니다.

엔터프라이즈 보안 회사인 Acronis는 지난해 싱가포르에 위치한 주요 소매 업체에 대한 루틴 보안 감사를 진행하던 중 이 취약점을 발견했다고 밝혔습니다.

“악성 공격자가 탐지되지 않은 채 네트워크에서 지속성을 얻어 내부 사용자를 스파잉하고 데이터를 훔칠 수 있게 됩니다.”

“이들은 사용자의 지문 데이터를 통해 그들의 집 또는 개인 기기에 접근할 수 있으며, 사용자의 사진과 생체 데이터를 기반으로 신분 도용까지 가능한 것으로 나타났습니다.”

이 취약점은 최소 제품군 6개에 존재하며 브라질, 미국, 독일, 대만, 일본에서만 취약한 기기 2,500대가 발견되었습니다.

첫 번째 이슈는 이전에 문서화되지 않았던 루트 패스워드 이슈로 공격자가 기본 패스워드 "admin"을 사용하여 기기 내 백도어에 접근하고 원격으로 취약한 기기에 로그인하도록 허용합니다. 

(예: https://ip.of.the.device/isshd.htm)

두 번째 취약점은 SSH를 통한 인증 시 하드코딩된 공유 암호화 개인 키 사용으로 인해 발생하며, 세 번째 취약점은 아무런 인증 없이 기기 내 시스템 로그 접근을 허용합니다. 

(예: https://ip.of.the.device/messages.txt, https://ip.of.the.device/messages.old.txt)

마지막은 GeoVision 지문 리더기의 펌웨어에 존재하는 버퍼 오버플로우 취약점으로 공격자가 기기에서 승인되지 않은 코드를 실행하도록 허용합니다. 

이 공격은 아무런 인증이 필요하지 않습니다. 해당 취약점은 CVSS 점수 10점을 받아 ‘치명적’으로 분류되었습니다.

Acronis는 이 취약점을 발견한 후 2019년 8월, 9월, 12월 GeoVision 측에 연락을 취했으며 SingCERT 측에도 신고했습니다. 

하지만 GeoVision은 2020년 6월 초에야 버전 1.22를 통해 이 취약점 중 3개를 패치할 수 있었습니다. 버퍼 오버플로우 취약점은 아직까지 패치되지 않은 채 남아있습니다.

대만의 침해 사고 대응팀(TWCERT)에서도 이 취약점 3개(CVE-2020-3928, CVE-2020-3929, CVE-2020-3930)에 대한 권고를 발행했습니다.

이 외 치명적으로 분류되었으나 아직까지 패치되지 않은 4번째 원격 코드 실행 취약점은 공격자가 취약한 파라미터를 악용하여 메모리 관리를 담당하는 메모리 구조를 덮어쓸 수 있도록 허용합니다. 

이 취약점에 대한 기술적 정보는 공개되지 않았습니다.

이 취약점은 특정 구조 내 포인터를 덮어쓰도록 허용하여 공격자가 프로그램의 실행 흐름을 그들의 악성코드로 이동시키고 다른 명령을 실행할 수 있게 됩니다.

이 글을 발행하기 전 GeoVision에 연락을 취했지만 아무런 답변을 받지 못했습니다.

Acronis의 최고 정보 보호 책임자인 Kevin Reed와 보안 연구원인 Alex Koshelev는 아래와 같이 의견을 밝혔습니다.

“공격자가 기기 전체 제어 권한을 얻게 되면 자신의 악성 펌웨어를 마음대로 설치할 수 있으며, 이를 네트워크에서 제거하는 것은 거의 불가능합니다.”

“일부 제조사는 이러한 치명적인 취약점을 가능한 한 빨리 수정하기 위해 서두르지 않는 모습을 보여 이해하기 어렵습니다. 초기 소스 코드의 퀄리티가 낮을 뿐만 아니라 백도어가 존재한다는 것은 매우 우려 스러운 점입니다.”

출처:

https://thehackernews.com/2020/06/geovision-scanner-vulnerabilities.html