10월 중순, D-Link 라우터에서 임의파일 다운로드가 가능한 취약점이 발견되었습니다. 해당 취약점은 공격자가 권한이 없는 상황에서 /uir 페이지에서 원격으로 임의의 파일을 내려받을 수 있도록 허용합니다. 이렇게 다운로드가 가능한 파일들 중에는 민감한 파일（/etc/passwd등）및 비밀번호를 평문으로 저장한 파일(/tmp/XXX/0）등이 포함되어 있습니다. 공격자들은 이렇게 획득한 파일들을 이용하여 IoT 기기들을 채굴에 악용하거나 봇넷으로 만들 수 있습니다. 이번 취약점은 CVE-2017-6190 취약점 패치 과정에서 발생한 취약점으로 인해 발생합니다. 당시 취약점이 공개된 제품에 대해서만 패치를 진행하였고 공개되지 않은 제품에 대해서는 어떠한 조사도 이루어 지지 않았으며, 이로 인하여 해당 취약..

국내외 보안동향 2018. 10. 24. 14:26