Home > Àüü±â»ç
°¡Á¤¿ë ¶ó¿ìÅÍ Á¦Á¶»ç TP¸µÅ©, 4°¡Áö Ãë¾àÁ¡ ÆÐÄ¡
  |  ÀÔ·Â : 2018-11-21 11:18
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â īī¿À ½ºÅ丮 º¸³»±â
TL-R600VPN Àåºñ¿¡¼­ ³ª¿Â Ãë¾àÁ¡, µðµµ½º ¹× RCE °ø°Ý °¡´É
TP¸µÅ© ÃøÀº ÆÐÄ¡ ¹ßÇ¥...TL-R600VPN »ç¿ëÀÚ¶ó¸é ¾÷µ¥ÀÌÆ® Çʼö


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ÍÀÌÆÄÀÌ Àåºñ Á¦Á¶»çÀÎ TP¸µÅ©(TP-Link)°¡ ÃÖ±Ù TL-R600VPNÀ̶ó´Â °¡Á¤¿ë ȤÀº ¼Ò±Ô¸ð »ç¹«½Ç¿ë(SOHO) ¶ó¿ìÅÍ Àåºñ¿¡¼­ ¹ß°ßµÈ Ãë¾àÁ¡µéÀ» ÆÐÄ¡Çß´Ù. ½Ã½ºÄÚ Å»·Î½º ÆÀ¿¡ ÀÇÇϸé ÀÌ Ãë¾àÁ¡µéÀ» ¾Ç¿ëÇÏ¸é ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


Ãë¾àÁ¡ÀÇ ÇÙ½ÉÀº ÀÔ·Â °ªÀ» ÀûÀýÇÏ°Ô °¡´Ùµë°Å³ª Á¶Á¤ÇÏ´Â ´Ü°è°¡ ¾ø°í ÆÄ½Ì(parsing) ¿À·ù°¡ Á¸ÀçÇÑ´Ù´Â °ÍÀÌ´Ù. ÀÔ·Â °ªÀ» Á¦´ë·Î Á¶Á¤ÇÏÁö ¾ÊÀ¸¸é, ±×·¡¼­ »ç¿ëÀÚ°¡ ¾Æ¹« °ªÀ̳ª ¸· ¼ÒÇÁÆ®¿þ¾î¿¡ Áý¾î³ÖÀ» ¼ö ÀÖ°Ô µÇ¸é, Á¦ÀÏ ´Ü¼øÇϰԴ ¼­ºñ½º ¸¶ºñ °ø°ÝÀÌ °¡´ÉÇÏ°í ½ÉÇØÁö¸é ¼­¹ö Á¤º¸ À¯Ãâ·Î±îÁö À̾îÁú ¼ö ÀÖ°Ô µÈ´Ù.

ÇÑÆí ÆÄ½Ì ¿À·ù¸¦ ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é ÀÎÁõ °úÁ¤À» Åë°úÇÑ ¼¼¼ÇÀÌ ÇÊ¿äÇϱä ÇÏÁö¸¸, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇϸé HTTPD ¸Æ¶ô¿¡¼­ ¿ø°Ý ÄÚµå ½ÇÇàÀ¸·Î À̾îÁú ¼ö ÀÖ´Ù. HTTPD ÇÁ·Î¼¼½º´Â ·çÆ® ±ÇÇÑÀ» °®°í Àֱ⠶§¹®¿¡, ÀÎÁõÀ» Åë°úÇØ¾ß ÇÑ´Ù´Â ±î´Ù·Î¿î ÀüÁ¦Á¶°ÇÀÌ ºÙ±ä ÇÏÁö¸¸ ¼º°ø ½Ã ±ÇÇÑ »ó½ÂÀ¸·Î À̾îÁ® °ø°ÝÀÚ ÀÔÀå¿¡¼­´Â ½ÃµµÇغ¼ ¸¸ÇÏ´Ù.

¹ß°ßµÈ Ãë¾àÁ¡µé Áß ¼¼ °³´Â TP¸µÅ©ÀÇ TL-R600VPN HWv3 FRNv 1.3.0°ú TL-R600VPN HWv2 FRNv1.2.3 ¹öÀüµé¿¡¼­ ¹ß°ßµÆ´Ù. ³× ¹øÂ° Ãë¾àÁ¡Àº HWv3 FRNv1.3.0¿¡¼­¸¸ ÀÖ´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù.

ÀÌÁß CVE-2018-3948À̶ó´Â Ãë¾àÁ¡Àº ¼­ºñ½º °ÅºÎ Ãë¾àÁ¡À¸·Î TL-R600VPN HTTP ¼­¹öÀÇ URI ÆÄ½Ì ÇÔ¼ö¿¡¼­ ã¾Æ³Â´Ù. ¡°ÀÌ Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Â ÆäÀÌÁö(ÇïÇÁ, À̹ÌÁö, ÇÁ·¹ÀÓ, ´ÙÀ̳ªÆû, ·ÎÄÃÈ­)¿¡¼­ µð·ºÅ丮 Ž»ö(directory traversal)À» ½ÃµµÇϰí, ¿äûµÈ ÆäÀÌÁö°¡ ÆÄÀÏÀÌ ¾Æ´Ï¶ó µð·ºÅ丮ÀÏ °æ¿ì, À¥ ¼­¹ö°¡ ¹«ÇÑ ·çÇÁ·Î µ¹ÀÔÇØ °ü¸® Æ÷ÅÐÀ» »ç¿ëÇÒ ¼ö ¾ø°Ô ÇÕ´Ï´Ù. ÀÌ ¿äûÀº »ç½Ç óÀ½ºÎÅÍ Çã¶ôµÇ¸é ¾È µÇ´Â °ÍÀÌÁÒ.¡± ½Ã½ºÄÚÀÇ ¼³¸íÀÌ´Ù.

¶Ç ´Ù¸¥ Ãë¾àÁ¡Àº ¹Ù·Î µð·ºÅ丮 Ž»ö°ú °ü·ÃµÈ °ÍÀ¸·Î, CVE-2018-3949À̸ç, HTTP ¼­¹ö¿¡¼­ Á¤º¸°¡ ³ëÃâµÇµµ·Ï ¸¸µç´Ù. ÀÎÁõÀÌ µÈ °ø°ÝÀÚ»Ó¸¸ ¾Æ´Ï¶ó ÀÎÁõÀÌ µÇÁö ¾ÊÀº °ø°ÝÀÚµµ ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ´Ù. ÀÎÁõÀÌ µÈ °ø°ÝÀÚÀÇ °æ¿ì ÇïÇÁÀÇ ±âÁØ ÆäÀÌÁö¿¡¼­ Ç¥ÁØ µð·ºÅ丮 Ž»öÀ» ÇÏ¸é µÈ´Ù. ½Ã½ºÅÛ ³» ¾î¶² ÆÄÀÏÀÌ¶óµµ °ø°ÝÀÚ°¡ ¿­¶÷ÇÒ ¼ö ÀÖ°Ô µÈ´Ù.

¼¼ ¹øÂ° Ãë¾àÁ¡Àº CVE-2018-3950À¸·Î TL-R600VPN HTTP ¼­¹öÀÇ ping°ú traceroute ÇÔ¼ö¿¡¼­ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ¸é ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇØÁø´Ù. ¶ó¿ìÅͰ¡ ping ¸í·ÉÀ» ½ÇÇàÇÒ ¶§ ping_addr Çʵå·Î Àü´ÞµÇ´Â µ¥ÀÌÅÍÀÇ Å©±â¸¦ È®ÀÎÇÏÁö ¾Ê±â ¶§¹®ÀÌ´Ù.

¡°Å©±â°¡ Å« µ¥ÀÌÅ͸¦ °ø°ÝÀÚ°¡ º¸³»¸é ½ºÅà ±â¹ÝÀÇ ¹öÆÛ ¿À¹öÇ÷ο츦 ÀÏÀ¸Å³ ¼ö ÀÖ°Ô µË´Ï´Ù. ±×¸®°í ÀÌ°Ç ¿ø°Ý ÄÚµå ½ÇÇàÀ¸·Îµµ À̾îÁú ¼ö ÀÖÁÒ. ¾Æ´Ï¸é HTTP ¼­¹ö Àåºñ¸¦ ¸¶ºñ½Ãų ¼öµµ ÀÖ°Ô µÇ°í¿ä. ¹°·Ð °ø°ÝÀÚ°¡ ÀÌ °ø°ÝÀ» ½ÇÇàÇÏ·Á¸é ÀÎÁõµÈ ¼¼¼Ç ³»¿¡ ÀÖ¾î¾ß ÇÕ´Ï´Ù.¡±

µÎ ¹øÂ° ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÎ CVE-2018-3951Àº TL-R600VPN HTTP ¼­¹öÀÇ Çì´õ ÆÄ½Ì ÇÔ¼ö¿¡¼­ ¹ß°ßµÆ´Ù. °ø°ÝÀÚ°¡ Ư¼öÇÏ°Ô Á¶ÀÛµÈ HTTP ¿äûÀ» º¸³»¸é ¹öÆÛ ¿À¹öÇ÷ο츦 ¹ßµ¿½Ãų ¼ö ÀÖ°í, ±× ÈÄ ¿ø°Ý ÄÚµå ½ÇÇà±îÁöµµ ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ °æ¿ì¿¡µµ °ø°ÝÀÚ¿¡°Ô´Â ÀÎÁõµÈ ¼¼¼ÇÀÌ ÇÊ¿äÇÏ´Ù.

¡°ÀÌ °ø°ÝÀÌ ÁøÇàµÇ´Â µ¿¾È ¼­¹ö´Â »ç¿ëÀÚ°¡ ÅëÁ¦ÇÏ´Â HTTP Çì´õ ¹öÆÛÀÇ ±æÀ̸¦ °è»êÇÏ°í ±× °ªÀ» ÀÔ·Â ¹öÆÛ ¿ÀÇÁ¼Â¿¡ Ãß°¡ÇÕ´Ï´Ù. ±×·¯¸é ¶ó¿ìÅͰ¡ Á¤»óº¸´Ù ±ä GET ¿äûÀ» ó¸®ÇÏ°Ô µÇ¸é¼­ ¿À¹öÇ÷οì¿Í ºñ½ÁÇÑ »óŰ¡ ¸¸µé¾îÁý´Ï´Ù.¡±

TP¸µÅ© ÃøÀº ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇÑ ÆÐÄ¡¸¦ °³¹ßÇØ ¹èÆ÷Çϱ⠽ÃÀÛÇßÀ¸¸ç, TL-R600VPN ¶ó¿ìÅ͸¦ »ç¿ë Áß¿¡ ÀÖ´Ù¸é ÀÌ ÆÐÄ¡¸¦ ¹Þ¾Æ Àåºñ ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù.

3ÁÙ ¿ä¾à
1. °¡Á¤¿ë ȤÀº ¼Ò±Ô¸ð »ç¹«½Ç¿ë ¶ó¿ìÅÍ Á¦Á¶»çÀÎ TP¸µÅ©¿¡¼­ Ãë¾àÁ¡ ÆÐÄ¡ ¹ßÇ¥.
2. ÃÑ ³× °¡Áö Ãë¾àÁ¡À¸·Î, ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ ÇØÁÖ´Â °Íµµ ÀÖÀ½.
3. °¡Àå Ãë¾àÇÑ ±â±â´Â TL-R600VPN ¶ó¿ìÅÍ ½Ã¸®Áî·Î, ¾÷µ¥ÀÌÆ® ÇʼöÀÓ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â īī¿À ½ºÅ丮 º¸³»±â


  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
IBM ÆÄ¿öºñÁî ¹è³Ê 2019³â2¿ù8ÀÏ~2020³â2¿ù7ÀϱîÁö/7¿ù25ÀÏ ¼öÁ¤À§Áîµð¿£¿¡½º 2018ÆÄ¿öºñÁî¹è³Ê ½ÃÀÛ 11¿ù6ÀÏ 20181105-20200131
¼³¹®Á¶»ç
¿ÃÇØ´Â 4Â÷ »ê¾÷Çõ¸í ½Ã´ë¿¡ µû¸¥ À¶ÇÕº¸¾È À̽´°¡ °¡Àå Å« Ű¿öµå°¡ µÇ°í ÀÖ½À´Ï´Ù. º¸¾È°ú Ȱ¹ßÈ÷ Á¢¸ñµÇ°í ÀÖ´Â ºÐ¾ß °¡¿îµ¥ °¡Àå Å« °ü½É ºÐ¾ß ÇÑ °¡Áö¸¸ ²Å´Â´Ù¸é?
ÀΰøÁö´É(AI)
ºòµ¥ÀÌÅÍ
VR(°¡»óÇö½Ç)/VR(Áõ°­Çö½Ç)
¿þ¾î·¯ºí
ºí·ÏüÀÎ
½º¸¶Æ®½ÃƼ
ÀÚÀ²ÁÖÇàÂ÷
Ŭ¶ó¿ìµå ÄÄÇ»ÆÃ
±âŸ(´ñ±Û·Î)
      

ÇÏÀÌÅ©ºñÀü
CCTV / IP / NVR

ÀÎÄÜ
ÅëÇÕ°üÁ¦ / ¼Ò¹æ¹æÀç

Çö´ëÆ¿½º
ÆÒƿƮ / Ä«¸Þ¶ó

¾ÆÀ̵ð½º
DVR / IP / VMS

½ÃÅ¥ÀÎÆ÷
CCTV / NVR

ÇÑÈ­Å×Å©À©
CCTV Ä«¸Þ¶ó / ¿µ»ó°¨½Ã

ƼÁ¦ÀÌ¿ø
¿µ»ó º¸¾È / ÃâÀÔ ÅëÁ¦

´ë¸íÄÚÆÛ·¹À̼Ç
DVR / IPÄ«¸Þ¶ó

ÇÇ¿£¿¡ÀÌ
CCTV / IP Ä«¸Þ¶ó ¸ðµâ

ÇÏÀÌÅ©ºñÀü ÄÚ¸®¾Æ
CCTV / IP / NVR

¿ø¿ìÀÌ¿£Áö
ÁÜÄ«¸Þ¶ó

µ¿¾çÀ¯´ÏÅØ
IR PTZ Ä«¸Þ¶ó

´ÙÈÄ¾Æ ÄÚ¸®¾Æ
CCTV / DVR

Æ®·ç¿£
IP Ä«¸Þ¶ó

ÁöÄÉÀÌÅ×ÄÚ
ÃâÀÔÅëÁ¦ / ¾ó±¼ÀνÄ

¾ÆÀ̵ð½º
DVR / IP / VMS

Çѱ¹ÇÏ´ÏÀ£
CCTV / DVR

ÀÌÈ­Æ®·Ð
DVR / IP / CCTV

¼±ÁøÀÎÆ÷ÅØ
º¸¾È ¿Àµð¿À Àåºñ / ¼ÒÇÁÆ®¿þ¾î

Å×Å©½ºÇǾî
¼ÕÇ÷°ü / Â÷·®ÇϺΠ°Ë»ö±â

¾¾°ÔÀÌÆ®
º¸¾È°¨½ÃÀü¿ë µå¶óÀ̺ê

½´ÇÁ¸®¸¶
ÃâÀÔÅëÁ¦ / ¾ó±¼ÀνÄ

¾ÆÀÌÆ¼¿¢½º¿¥Åõ¿¥
DVR / NVR / IP CAMERA

µðºñ½Ã½º
CCTVÅäÅ»¼Ö·ç¼Ç

ºñÀüÁ¤º¸Åë½Å
IPÄ«¸Þ¶ó / VMS / Æú

¿£Å佺Á¤º¸Åë½Å
DVR / NVR / CCTV

°æÀξ¾¿£¿¡½º
CCTV / ÀÚµ¿º¹±¸ÀåÄ¡

µµ¸¶Ä«¹ÙÄÚ¸®¾Æ
½ÃÅ¥¸®Æ¼ °ÔÀÌÆ®

¾¾¿ÀÇÇÄÚ¸®¾Æ
CCTV ¿µ»ó Àü¼ÛÀåºñ

´Ù¹ÎÁ¤º¸»ê¾÷
±â¾÷Çü ½ºÅ丮Áö

¾¾¿¥¾ÆÀÌÅØ
±ÙŰü¸® ¼ÒÇÁÆ®¿þ¾î / ȫä ½ºÄɳÊ

¿¡½ºÄ«
CCTV / ¿µ»ó°³¼±

º¸½¬½ÃÅ¥¸®Æ¼½Ã½ºÅÛÁî
CCTV / ¿µ»óº¸¾È

Å×Å©¾îÇìµå
¾ó±¼ÀÎ½Ä ¼ÒÇÁÆ®¿þ¾î

¿¡½º¿¡½º¿£¾¾
¹æÈ­º® Á¤Ã¥°ü¸®

¿ÉÅØ½ºÄÚ¸®¾Æ
½Ç³» ½Ç¿Ü ¼¾¼­

³ª¿ì½Ã½ºÅÛ
³×Æ®¿öÅ© IP ½ºÇÇÄ¿

½Å¿ìÅ×Å©
ÆÒÆ¿µå / ÇÏ¿ì¡

¿¡ÇÁ¿¡½º³×Æ®¿÷½º
½ºÇÇµå µ¼ Ä«¸Þ¶ó

¿£Å¬¶ó¿ìµå
VMS / ½ºÀ§Ä¡

ÄÉÀÌÁ¦ÀÌÅ×Å©
Áö¹® / ¾ó±¼ ÃâÀÔ ÅëÁ¦±â

»ç¶ó´Ù
Áö´ÉÇü °´Ã¼ ÀÎ½Ä ½Ã½ºÅÛ

¾Ë¿¡ÇÁÄÚ¸®¾Æ
¹«¼± ºê¸´Áö / AP

ÀÏ»êÁ¤¹Ð
CCTV / ºÎǰ / À©µµ¿ì

¾ÆÀÌ¿£¾ÆÀÌ
¿ïŸ¸® ħÀÔ °¨Áö ½Ã½ºÅÛ

±¸³×º¸ÄÚ¸®¾Æ
º¸¾È°ÔÀÌÆ®

ºêÀÌÀ¯ÅØ
Ç÷§Æû ±â¹Ý ÅëÇÕ NVR

Áø¸í¾ÆÀ̾ؾ¾
CCTV / Ä«¸Þ¶ó

À̳뵪
VMS

»õ´«
CCTV »óŰü¸® ¼Ö·ç¼Ç

ÄÉÀÌÆ¼¾Ø¾¾
CCTV / ¸ðµâ / µµ¾î¶ô

ÀÌÈÄÄ¿¹Â´ÏÄÉÀ̼Ç
CCTV / DVR

À̽ºÆ®ÄÁÆ®·Ñ
ÅëÇÕ ÃâÀÔ ÅëÁ¦ ¼Ö·ç¼Ç

¾ÆÀÌÀ¯Ç÷¯½º
·¹ÀÌ´õ / Ä«¸Þ¶ó

â¿ì
Æú´ë

µÎ·¹¿ÉÆ®·Î´Ð½º
Ä«¸Þ¶ó ·»Áî

±Ý¼ºº¸¾È
CCTV / ÃâÀÔÅëÁ¦ / NVR

Áö¿¡½ºÆ¼¿£Áö´Ï¾î¸µ
°ÔÀÌÆ® / ½ºÇǵå°ÔÀÌÆ®

¿¤¸²±¤Åë½Å
±¤Àü¼Û¸µÅ©

Ƽ¿¡½º¾ÆÀַ̼ç¼Ç
ÃâÀÔ ÅëÁ¦ ¼Ö·ç¼Ç

´ë»ê½ÃÅ¥¸®Æ¼
CCTV Æú / ÇÔü / ·¢

´õÄÉÀÌ
Åõ±¤±â / Â÷·®¹øÈ£ÀνÄ

¼öÆÛ¶ô
ÃâÀÔÅëÁ¦ ½Ã½ºÅÛ

Æ÷Ä¿½º¿¡ÀÌÄ¡¾Ø¿¡½º
Áö´ÉÇü / Ä«¸Þ¶ó

ÈÞÄĽº
PTZ Ä«¸Þ¶ó / ÁÜÄ«¸Þ¶ó

¼¼È¯¿¥¿¡½º
½ÃÅ¥¸®Æ¼ °ÔÀÌÆ®

À¯Áø½Ã½ºÅÛÄÚ¸®¾Æ
ÆÒƿƮ / ÇÏ¿ì¡

īƼ½º
ÃâÀÔÅëÁ¦ / ¿Ü°û°æºñ

À¯´Ï¿ÂÄ¿¹Â´ÏƼ
»ýüÀÎ½Ä / ÃâÀÔÅëÁ¦