Linksys WRT54G 시리즈는 Linux 기반의 임베디드 OS 를 사용하고, 소스를 공개해서 DD-WRT, OpenWRT, HyperWRT 등 다양한 해킹 펌웨어가 등장하는 등 꾸준한 사랑을 받는 환경이 되었습니다. 그 인기로 인해 v1 이후 최근의 v8 까지 꾸준히 업그레이드 되어 오면서, GS, GL 등 다양한 형제 플랫폼이 등장하기도 했죠.

그러나 Linksys 내부에서는 해킹 펌웨어에 대해 좋지 않게 생각하는 움직임이 있었는지, v5 버전부터는 플래쉬 메모리와 램 사이즈를 절반으로 줄이고, OS 도 VxWorks 로 전환하였습니다.

심지어 WRT54G v7 은 이전의 Broadcom 칩셋에서 Atheros 칩셋으로 바꾸어 극도로 제한된 환경이 되었죠. 물론  v8 에서는 다시 Broadcom 칩셋으로 돌아갔습니다만...

그러나 펌웨어 해킹이 어려워진 WRT54G v7 에도 몇 가지 취약점이 있는 듯 한데요... 오늘은 FTP 인증 문제를 소개시켜드리겠습니다. WRT54G v7 의 디폴트 펌웨어 버전은 v7.00.1 입니다.

이 버전은 21번 FTP 포트가 디폴트로 열려있고, 놀랍게도 해당 FTP 서버에 아무 아이디나 패스워드를 집어넣어도 접속할 수 있습니다. 직접 접속한 화면을 보여드리면...

FTP 서버에 ID:asdf, PW:asdf 라는 아무 값이나 집어넣어도 WRT54G v7 에 성공적으로 접속한 것을 보실 수 있습니다.
이제 해당 디렉터리에 존재하는 파일을 제한없이 전부 다운로드 받을 수 있습니다.

그리고 해당 파일들 내에는 서버의 주요 설정 정보와, WEP 키, WPA-PSK 를 위한 암호, WRT54G v7 의 관리자 암호 등이 평문으로 기록되어 있습니다.

예를 들어보면 igwhtm.dat 는 internet gateway htm data 의 약자인 듯 한데, 당연히 웹 기반 관리자 페이지의 HTML 파일들에 대한 정보가 기록되어 있고, 이 중에는 매뉴얼에도 안나오고, 관리자 페이지에서도 볼 수 없었던 숨겨진 페이지들이 있습니다.
위와 같은 명령어를 통해 확인한 정보 중 sysinfo.htm 페이지에 접속해보면 아래와 같이 해당 시스템에 대한 상세 정보를 제공합니다.
이런 페이지도 있죠.
놀랍게도 lastpassword.htm 이라는 파일에는 제 실제 관리자 패스워드를 기록하고 있었습니다.
wlaninfo.htm 은 무선랜 관련 상세 설정과 함께 WPA_PSK 키가 평문으로 들어있네요.
Linksys 의 공식 HTML 페이지들은 이름이 전부 대문자로 시작하는 반면, 시스템 설정 정보를 살펴보기 위한 일종의 백도어(?) 페이지들은 전부 소문자로 이름이 시작하는 것을 알 수 있습니다.

igwpricf.dat 이라는 파일 역시 해당 시스템에 대한 상세한 설정 정보와 관리자 ID, 패스워드, WPA-PSK 키, WEP 키 등을 평문으로 기록하고 있습니다.

nvram.cfg 라는 파일은 그 이름대로 Linksys 라우터의 설정 파일인데, 역시 해당 시스템에 대한 상세한 설정 정보와 관리자 ID, 패스워드, WPA-PSK 키, WEP 키 등을 평문으로 기록하고 있습니다.

Linksys WRT54G v7 AP 사용자는 누구나 FTP 로 접속하여 중요한 정보가 저장되어 있는 위의 파일들을 다운로드 받을 수 있습니다.

또한 FTP 사용자는 /mem/pricf/0 라는 파일을 다운로드 받을 수 있습니다. 이 파일은 Linux 의 /proc 파일 시스템과 같이 메모리 상의 정보를 파일 시스템 형태로 액세스할 수 있는 파일인데, nvram.cfg 와 마찬가지로 시스템에 대한 다양한 정보를 담고 있습니다.

제가 가진 시스템이 v7 이라 v7 에서만 확인한 것일 뿐, 다른 버전에서는 해당 문제를 아직 확인해보지 않았습니다. v8 에도 같은 문제가 있는지는 다른 분들이 확인해주시면 좋겠네요.