오래된 디링크 가정용 라우터에서 심각한 취약점 6개 발견돼

입력 : 2020-06-16 17:03

이미 지원이 오래 전에 종료된 모델...아직 가정에서 많이 사용되고 있어
재택 근무자 늘어나는 상황에서 좋은 소식 아냐...3가지 방법이 대책으로 나와

[보안뉴스 문가용 기자] 디링크(D-Link)가 오래된 자사 제품군을 교체하라는 긴급 권고 메시지를 고객들에게 전달하기 시작했다. 치명적인 위험도를 가진 명령 주입 취약점이 발견됐기 때문이다. 이 취약점을 익스플로잇 하는 데 성공할 경우 디도스 공격이 가능하게 된다고 한다.


문제가 되고 있는 제품은 DIR-865L Wirelss Router로, 2013년 처음 출시됐으며 2016년 2월 지원이 중단됐다. 하지만 실제 마지막 패치는 2018년 8월에 이뤄졌다. 그리고 지난 주 보안 업체 팔로알토 네트웍스(Palo Aloto Networks)가 6개의 추가 취약점을 찾아내 공개했고, 그 중 하나는 치명적인 위험도를 가진 것으로 분석됐다. 나머지 다섯 개도 고위험군에 속하는 것으로 나타났다.

DIR-865L 모델은 가정용 라우터로, 여기서 발견된 취약점은 현재 재택 근무자가 늘어난 현상과 맞물려 큰 위험요소가 될 가능성이 높다고 팔로알토 측은 경고했다. 디링크 측도 이러한 사실을 언급하며 해당 모델의 생애주기가 마지막에 도달했음을 강조했다. 그러면서 해당 모델을 계속 사용하는 건 위험하다고 권고했다.

“DIR-865L 장비를 사용하는 고객들은 현재 위험한 취약점에 노출되어 있습니다. 위험을 완화하고자 한다면 수동으로 최신 펌웨어를 설치해야 합니다.” 여기서 말하는 최신 펌웨어는 올해 5월 26일에 배포한 v1.20B01Beta01 베타 패치를 말한다. 이는 디링크 고객 지원 페이지(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10174)에서 다운로드가 가능하다.

그러나 이 패치가 완전한 것은 아니다. 팔로알토가 찾아낸 취약점 6개 중 3개만 다루고 있기 때문이다. 이 3개는 다음과 같다.
1) CVE-2020-13786 : XSS 취약점
2) CVE-2020-13785 : 부적절한 암호화 길이
3) CVE-2020-13783 : 민감 정보의 평문 저장

팔로알토가 찾아낸 취약점 중 가장 심각하다고 분석된 건 CVE-2020-13782이지만 위의 최신 펌웨어 업데이트에는 패치가 포함되어 있지 않다. 팔로알토에 의하면 이 취약점은 라우터의 웹 인터페이스에서 발견된 것으로, 이 인터페이스는 cgibin.exe라는 백엔드 엔진으로 제어된다고 한다. 특수하게 조작한 요청을 이 인터페이스에 전달하면 임의의 코드를 높은 권한으로 실행할 수 있게 된다고 한다.

그 다음으로 위험한 취약점은 CVE-2020-13786이었다. 위의 13782 취약점과 연계에서 익스플로잇 하면 한층 더 위험한 공격이 가능하다고 한다. “13786을 통해 공격자는 CSRF 공격을 할 수 있고, 이를 13782와 연계하여 익스플로잇 하면 현재 활성화 되어 있는 세션의 쿠키를 훔칠 수 있게 됩니다.”

그러므로 패치를 수동으로 진행한다고 해도 완전히 안전하게 되는 건 아니다. 장비를 완전히 교체하는 게 훨씬 더 안전하다. 하지만 이는 비용적인 부담이 될 수 있다. 팔로알토 측은 모든 트래픽이 HTTPS로 전달되도록 라우터 설정을 바꾸면 어느 정도 안전해질 수 있다고 권고했다. 그렇게 할 경우 세션 하이재킹 공격이 어려워지기 때문이다.

또 하나 “라우터의 시간대 설정을 바꾸는 것도 효과가 있을 수 있다”고 한다. “무작위로 생성된 세션 ID를 계산하는 수법을 구사하는 악성 행위자들을 이런 방법으로 어느 정도 방어할 수 있습니다.”

3줄 요약
1. 디링크의 DIR-865L Wirelss Router 모델에서 위험한 취약점 6개 발견됨.
2. 이 중 1개는 치명적 위험도를 가지고 있으며 나머지 5개는 고위험군.
3. 장비 교체, 최신 펌웨어 수동 업그레이드, 라우터 설정 변경 등이 제안됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...