D-Link DWR-932 B LTE 라우터에서 백도어 다수 발견돼

D-Link DWR-932 B LTE 라우터에서 백도어 다수 발견돼

Multiple Backdoors found in D-Link DWR-932 B LTE Router

D-Link DWR-932 B LTE 라우터에서 20여개 이상의 취약점이 발견되었습니다. 이번에 발견된 것들은 백도어 계정, 기본설정 계정, 계정 유출, 펌웨어 업그레이드 취약점 등입니다. 

만약 공격자가 이 취약점들을 성공적으로 악용할 경우, 원격에서 공격당한 라우터 및 네트워크를 하이재킹하고 제어할 수 있습니다. 또한 이 기기들은 MITM 공격 및 DNS 포이즈닝 공격에 노출될 수 있습니다. 뿐만 아니라 해킹된 라우터를 DDoS 공격에 악용할 수도 있습니다. 

Telnet 및 SSH 백도어 계정

보안연구원이 해당 라우터에 대해 침투테스트를 진행하던 중, D-Link 무선라우터가 두 개의 하드코딩된 비밀계정 admin:admin, root:1234를 사용하는 Tenlet 및 SSH 서비스를 디폴트로 운영하고 있는 것을 발견하였습니다. 공격자가 이 계정을 이용하면 인터넷 트래픽을 모니터링하고 악성 스크립트를 실행할 수 있으며, 라우터 셋팅도 변경할 수 있게 됩니다. 

또 다른 백도어

해당 라우터에는 하드코딩된 비밀명령어인 "HELODBG" 가 존재하였으며, 해당 문자열을 UDP 포트로 보내는 것만으로도 루트원한으로 Telnet을 실행할 수 있습니다. 

취약한 WPS 시스템

라우터에는 “WPS”(Wi-Fi Protected Setup)라고 표시된 조그만 버튼이 존재합니다. 이 기능은 모든 사람들이 실제 Wi-Fi 패스워드 대신 PIN으로 무선 네트워크로 접속하도록 허용합니다. D-Link라우터에 존재하는 이 WPS 시스템의 PIN은 /bin/appmgr 프로그램에 하드코딩되어 있습니다. 

취약한 WPS PIN 생성

사용자들은 라우터의 어드민 웹 인터페이스를 사용하여 임시로 새 WPS PIN을 생성할 수 있으나, PIN 생성알고리즘이 너무 취약하여 공격자가 쉽게 예측할 수 있습니다. 

원격 펌웨어 OTA 업데이트

원격 펌웨어 무선 업데이트(FOTA) 메커니즘도 매우 취약합니다. FOTA 서버로 연결하기 위한 크리덴셜은 /sbin/fotad 바이너리에 하드코딩되어 있을뿐만 아니라, 계정 패스워드 조합 역시 매우 단순한 것으로 확인되었습니다. 또한 FOTA 데본은 HTTPS를 통해 펌웨어를 받으려고 시도하지만, 해당 xml을 위한 SSL 인증서는 이미 1년 반 동안 유효하지 않은 상태인 것으로 나타났습니다. 

UPnP 보안장치 제거

 

신뢰하지 않는 LAN 클라이언트들로부터 수정된 새 방화벽 룰을 피하기 위해, 보통 이 곳에 관련 제약사항이 존재합니다. 하지만 취약한 D-Link 라우터를 위한 설정파일 내 UPnP 권한 룰에는 어떠한 제약사항도 포함되어있지 않았습니다. 따라서 LAN에 연결된 모든 사람들이 인터넷에서 LAN에 위치하는 다른 클라이언트로의 포트포워딩 룰를 추가할 수 있습니다. 

현재 공개된 이슈보다 더 많은 보안이슈들이 존재하고 있습니다. 관련 보안 연구원은 이러한 상태를 지난 6월 D-Link에 제보하였지만, 아직까지 별다른 업데이트가 이루어지지 않은 상황입니다. 이에 그는 CERT의 조언을 얻어 해당 취약점의 자세한 내용을 공개하였습니다. 

참고 : 

http://thehackernews.com/2016/09/hacking-d-link-wireless-router.html

https://pierrekim.github.io/blog/2016-09-28-dlink-dwr-932b-lte-routers-vulnerabilities.html