익스플로잇에 성공할 경우 원격에서 장비 완전 장악 가능하게 돼
[보안뉴스 문가용 기자] 인터넷 서비스 제공업체(ISP)들이 많이 사용하는 케이블 모뎀들에서 치명적인 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공할 경우, 공격자가 장비를 완전히 장악할 수 있다고 한다.
[이미지 = iclickart]
이 취약점은 CVE-2019-19494이며 라이어버즈(Lyrebirds)라는 회사의 보안 연구원들이 제일 먼저 발견해 케이블 혼트(Cable Haunt)라는 이름까지 붙였다. 이 취약점에 영향을 받고 있는 케이블 모뎀 제조사는 다음과 같다.
1) 아리스(Arris)
2) 콤팔(COMPAL)
3) 넷기어(Netgear)
4) 사젬컴(Sagemcom)
5) 테크니컬러(Technicolor)
그 외 다른 제조사들도 일부 더 있는 것으로 나타났다.
케이블 혼트가 발생하는 지점은 브로드컴(Broadcom)이 만든 레퍼런스 소프트웨어다. 브로드컴이 만든 걸 여러 케이블 모뎀 제조사들이 복사해서 사용하고 있으며, 특히 장비 펌웨어에 많이 적용시켰다고 한다. 라이어버즈는 “이 취약점은 버퍼 오버플로우를 일으키며, 이를 통해 원격의 공격자는 임의의 코드를 커널 층위에서 실행할 수 있게 된다”고 설명한다.
이 취약점이 존재하는 케이블 모뎀들은 DNS 리바인드 공격(DNS Rebind Attack)에 취약하다고 한다. “레지스터에 오버플로우를 일으키고 악성 기능을 실행시키면서 DNS 리바인드 공격을 할 수 있게 됩니다. 이는 스펙트럼 분석기에 있는 프로그래밍 오류와 디폴트 크리덴셜, DNS 리바인드 공격에 대한 방어 매커니즘 부재가 복합적으로 발생시키는 결과라고 볼 수 있습니다.”
이 취약점을 발견한 연구원들은 개념증명용 익스플로잇도 함께 개발했다. 이 익스플로잇으로는 2단계 공격이 가능하다고 한다.
1) 먼저는 모뎀의 보드에 있는 스펙트럼 분석기를 침해한다. 이를 통해 로컬 접근이 가능해진다. 스펙트럼 분석기는 브라우저를 통해 표시되는 그래픽 프론트엔드와 통신하기 위해 웹소켓을 사용한다. 이 때 서버는 브라우저가 추가한 요청 매개변수를 확인한다. 그러나 케이블 모뎀은 이 매개변수를 확인하는 절차를 생략한다. 따라서 웹소켓은 브라우저 내에서 돌아가는 자바스크립트로 만들어진 요청을 전부 수락한다. 이 때문에 공격자들은 엔드포인트에 접근할 수 있게 된다.
2) 그 다음으로는 DNS 리바인드 공격을 실시한다. 이를 통해 위에서 침해한 스펙트럼 분석기에 원격 접근하는 게 가능해진다. DNS 리바인드 공격이란 피해자의 브라우저를 공격용 프록시로 변환시키는 기술을 말한다. 이 DNS 리바인드 공격이 불가능했다면 스펙트럼 분석기 침해는 로컬 단위에서만 이뤄질 수 있다.
“이렇게 함으로써 엔드포인트와 악성 통신을 할 수 있게 됩니다. 그런 다음 버퍼 오버플로우를 일으키면 모뎀을 완전히 통제할 수 있습니다.” 라이어버즈의 설명이다. “JSON으로 구성된 웹소켓 요청에는 여러 매개변수가 있을 수 있는데, 저장된 레지스터, 프로그램 카운터, 리턴 값의 주소 등이 포함되기도 합니다.”
익스플로잇에 성공해 장비를 완전 장악하게 되더라도 모뎀 사용자나 ISP는 이를 전혀 알아차릴 수 없다고 라이어버즈는 강조했다. “그러면 공격자는 각종 비밀 메시지를 중간에서 가로챌 수 있게 되고, 트래픽을 우회시키거나 모뎀을 봇넷에 추가할 수도 있습니다. 펌웨어를 임의로 바꾸는 것도 가능하죠. 각종 위험에 노출되게 됩니다.”
현재 이 취약점에 노출된 모뎀은 유럽에서만 2억 대가 넘는 것으로 보인다(라이어버즈는 유럽 내에서만 조사를 실시했다). 그러나 위 제조사들이 만든 모뎀들은 세계 어느 지역에서나 쉽게 발견되는 것들이라 케이블 혼트가 유럽만의 문제라고 볼 수는 없다. 다행인 것은 대부분 제조사들이 이에 대한 패치를 내놓기 시작했다는 것이다. “케이블 모뎀 사용자들에게는 제조사에 연락을 하거나 웹사이트에 접속해서 패치를 받아 적용할 것을 권고합니다.”
3줄 요약
1. 여러 모뎀 제조사에서 만든 장비들에서 치명적 취약점 발견됨.
2. 취약점 익스플로잇 할 경우 원격에서 장비를 완전 통제할 수 있게 됨.
3. 유럽에서만 2억 대 이상의 취약한 장비가 있다고 나옴. 다른 지역은 조사 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>