Huawei USB LTE dongles are vulnerable to privilege escalation attacks
Trustwave의 보안 연구원들이 화웨이 USB LTE 동글에 존재하는 권한 상승 취약점을 공개했습니다.
USB 동글은 USB 드라이브처럼 랩탑과 데스크탑 컴퓨터에 꽂아서 인터넷에 연결할 수 있는 하드웨어입니다.
연구원들은 화웨이 LTE 기기 드라이버를 분석하던 중 부적절한 권한 이슈를 발견했습니다.
화웨이 LTE 드라이버, 최대 권한으로 자동으로 실행돼
Trustwave의 보안 연구 매니저인 Martin Rakhmanov는 화웨이 USB LTE 동글 모델 E3372에서 발견한 권한 상승 이슈에 대한 내용을 공개했습니다.
MacOSX 기기에 동글에서 설치한 드라이버 파일을 브라우징 하던 중, 해당 연구원은 USB 동글이 연결될 때마다 아래 파일이 자동으로 실행되는 것을 발견했습니다.
/Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen
USB 파일을 연결하면, 해당 파일은 화웨이의 장치 관리 인터페이스를 통해 웹 브라우저를 오픈합니다.
하지만 자세히 살펴본 결과 연구원은 “mbbserviceopen” 파일이 전체 권한(777)으로 실행되는 것을 발견했습니다.
<모든 사용자(Trustwave)에 대한 전체 읽기/쓰기/실행 권한을 포함한 mbbserviceopen 파일>
“악성 사용자는 파일을 자체 코드로 바꿔치기하고, 정식 사용자가 화웨이 기기를 통해 셀룰러 데이터 서비스를 사용하기만 기다리면 됩니다.”
권한 상승 공격은 시스템에서 제한적인 권한을 가진 사용자가 취약점 악용, 공유 파일에 대한 부적절한 접근 등 불법적인 방식을 통해 더 높은 수준의 권한을 얻는 것을 말합니다.
이 취약점은 컴퓨터에 설치된 화웨이 드라이버 소프트웨어를 변조하여 악용이 가능하기 때문에, 컴퓨터에 로컬 또는 물리적으로 접근할 수 있어야 합니다.
Trustwave SpiderLabs의 보안 연구 부사장인 Ziv Mador는 BleepingComputer 측에 아래와 같이 밝혔습니다.
“이 취약점의 핵심은 권한이 없는 사용자라도 동글을 삽입할 경우 다중 사용자 시스템에서 다른 사용자를 대신해 코드를 실행할 수 있다는 것입니다.”
또한 화웨이의 USB 장치를 사용하는 랩탑 컴퓨터를 여러 직원이 사용하는 경우 (주간/야간 근무) 야간 근무 직원이 합법적인 mbbserviceopen 파일을 패스워드 스틸러와 같은 악성코드로 쉽게 바꿔치기가 가능하다고 설명했습니다.
“야간 근무자는 이 취약점을 악용하여 먼저 패스워드 스틸러를 실행한 후 초기에 사용되는 원본 화웨이 실행 파일을 실행하는 간단한 스크립트를 작성해 사용할 수 있습니다. 이후 관리자가 동글을 꽂을 때마다 패스워드 스틸러가 시작된 후 인터넷 연결이 설정될 것입니다.”
“패스워드 스틸러는 보이지 않는 상태이기 때문에, 관리자는 다른 때와 마찬가지로 동일한 작업이 실행되고 있다고 믿을 것입니다. 하지만 실제로는 패스워드 스틸러가 사용자의 비밀번호를 탈취할 것입니다.”
연구원들은 보안 권고와 함께 취약점을 자세히 설명하는 블로그 게시물을 발행했습니다.
화웨이, 완화 지침 발표
Bleeping Computer 측에서 화웨이 웹사이트에서 구할 수 있는 드라이버를 살펴본 결과, 현재로써는 해당 취약점을 찾아볼 수 없었습니다.
<적절한 권한으로 “mbbserviceopen” 파일을 설정하는 화웨이의 웹사이트에서 받아온 ”Hilink” 드라이버>
화웨이는 Bleeping Computer 측에 이 문제를 취약점으로 받아들이고, 완화 지침과 함께 보안 권고를 발표했다고 밝혔습니다.
또한 USB LTE 동글(E3372)의 사용자들에게 이 취약점을 완화하기 위해 “Hi Link” 드라이버 파일을 웹사이트에서 다운로드할 것을 권고했습니다.
출처:
https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=28899
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210602-01-permission-en
Realtek RTL8170C Wi-Fi 모듈에서 무선 통신 하이재킹을 허용하는 취약점 발견 (0) | 2021.06.04 |
---|---|
후지필름, 랜섬웨어 추정 공격 이후 네트워크 중단시켜 (0) | 2021.06.03 |
라자루스 APT 그룹, 중국 정부 및 기업 대상으로 피싱 공격 수행해 (0) | 2021.06.02 |
미국의 식품 가공 대기업인 JBS Foods, 사이버 공격 받은 후 생산 중단해 (0) | 2021.06.02 |
실제 공격에 활발히 악용되는 치명적인 WordPress 플러그인 제로데이 발견 (0) | 2021.06.02 |
댓글 영역