얼마전 Linksys WRT54G 취약점을 Router Hacking Challenge 에 올렸더니 금새 OSVDB 에도 등록되고, CVE-2008-1268 로 등록되었네요.
OSVDB : http://osvdb.org/show/osvdb/43031
NIST CVE : http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1268
이 방식 편하군요. 나는 그냥 취약점만 알려주고, 그 후에 해야 하는 귀찮은 작업들은 외국애들이 알아서 해주니...
GNUCitizen 애들아 고맙다~
OSVDB : http://osvdb.org/show/osvdb/43031
NIST CVE : http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1268
이 방식 편하군요. 나는 그냥 취약점만 알려주고, 그 후에 해야 하는 귀찮은 작업들은 외국애들이 알아서 해주니...
GNUCitizen 애들아 고맙다~
덧글
공부 2008/03/18 11:52 # 삭제 답글
안녕하세요. 종종 들러서 많은 정보 얻고 있습니다.요 근래 문득 든 의문이, 인터넷 상에서 전해지는 IP에 대한 조작이 그렇게 쉬운건 아닐텐데(소켓에서의 조작 가능이 아닌, 실제로 그 가짜 IP를 달고 넷 상을 누빌 수 있는 경우의 얘기입니다.), 실제로 여기저기 보면 조작된 IP를 갖고 수많은 brute-force나 목록화 공격, 스캔, 작게는 블로그 스팸도 일어나더군요.
완전히 맘대로 IP를 조작해서 패킷을 쏴댄다는 건 아무리 생각해도 말이 안되는 것 같고, 은밀하게 조직적으로 운영되는 지구 규모의 불법 봇넷이라도 존재하는 걸까요?
헐랭이님의 의견이 궁금합니다.
ww0jeff 2008/03/18 12:35 # 삭제 답글
크흐, 어찌보면 원치도 않았는데 자동등록되버린거네요 ㅋcredit 도 없던데, candidate 에서 정식버전으로 가면 credit 넣어지겠죠?
그나저나 저희동네 케이블방송사는 주민들이 원치도 않는데 자동으로 2200원 인상해버리더군요. 따지러 갈겁니다. 홈페이지로!
xeraph 2008/03/18 14:08 # 답글
우왕~
beist 2008/03/18 14:55 # 삭제 답글
buffalo air station도 써봤는데 문제 많더라고요 ㅋㅋ 버그가 있긴 한데 공개가 안된 버그인듯
헐랭이 2008/03/18 17:47 # 답글
공부 // 말씀하신 부분은 설명할 부분이 광범위해서... 어떻게 시작해서 어떻게 맺어야 할지...
공부 2008/03/18 23:02 # 삭제 답글
아.....일단프록시형태의 경유 같은 것 말고, 완전히 의도한 대로 만들어진 IP로 대상 PC/서비스에 접근하는건 불가능하다고 알고 있는데, 요새 블로그 스팸 하나만 봐도 워낙 광범위한 IP대역에서 접근이 들어와서요. 이게 무슨 공용 봇넷이 있는 건 아닐까 하는 생각마져 들어서요.
ip crafting 같은 걸로 검색해봐도 별 내용이 안 나와서 제가 뭔가 크게 착각하고 있는게 아닌가 싶어서 질문 드립니다.
공부 2008/03/22 18:51 # 삭제 답글
음...뭔가 답변 주시기가 곤란하시기라도 한건가요..그냥, 멋대로 만들어진 IP면 로컬 라우터를 통과할 리가 없음에도 불구하고 광범위한 IP대역에서 스캔이 들어오는 경우가 많아서 설마 해커 공용 봇넷이라도 있는가 싶어서 질문드린거였습니다.
헐랭이 2008/03/22 18:59 # 답글
공부 // 답변을 못드린 점 죄송합니다. 일전에도 말씀드렸듯이 관련된 기술적 내용에 대해 설명할 사항이 많아서... 간단히 답변드리기 어려운 주제라서요. 양해해주시기 바랍니다.
공부 2008/03/23 10:07 # 삭제 답글
안녕하세요. 아뇨 전혀 죄송하실 필요는 없습니다;;;경우의 수에 대한 기술적 내용이 많은가요?
제가 궁금한 걸 요약하면 단 2가지 부분입니다. 해커가 -로컬이 아닌 리모트에 대해- 완전 임의 주소로 생성된 패킷을 대상 시스템에 쏠 수 있는가? 만약 있다면 그 임의주소는 어떻게 라우터를 통과하는가? 딱 이거거든요.
저 두개에 대해 yes,no로 답변을 주시는 것도 어려울까요;;;? 그리고 가능하다면 저런 부분 공부하려는데 찾아 볼 수 있는 기법명 이라던가 , 키워드를 알고 싶습니다.
현업 보안 컨설턴트시니 공부하려는 후학에게도 도움을 주시리라 믿습니다.
헐랭이 2008/03/23 12:43 # 답글
질문 범위를 좁혀주시니 좋네요. 리모트에서 임의의 IP 주소를 가장하여 패킷을 발송할 수 있습니다. 중간에 거치는 라우터나 게이트웨이에 별도의 필터링 룰을 걸어주지 않는 이상 (아직은 필터링 룰이 안걸려 있는 경우가 대부분입니다), 이런 Spoofed 패킷은 최종 목적지까지 전달됩니다.nmap 의 decoy scan 에 대해서 관련 자료를 뒤져보시고,
http://www.securityfocus.com/infocus/1674 나
http://en.wikipedia.org/wiki/Internet_protocol_spoofing,
http://spoofer.csail.mit.edu/summary.php,
http://www.ietf.org/rfc/rfc2827.txt (RFC2827)
등을 참고하시기 바랍니다.
참고로 일부 국내 보안 회사에는 어떤 주소와 패킷에 대해 ingress filtering 을 해야 하는지에 대한 detail 한 정보가 있습니다. 이런 정보를 입수해서 확인해보시는 것도 도움이 될 듯...
공부 2008/03/23 14:04 # 삭제 답글
답변 고맙습니다.장비들이 필터를 걸지 않는게 디폴트 였었군요, 주신 url덕분에 확실하게 이해가 되었습니다.
다시 한번 답변에 감사 인사 드립니다. 꾸벅.
m4gichack 2008/04/07 23:15 # 삭제 답글
Overall CVSS Score 10 점 만점이네요..^^http://www.us-cert.gov/cas/bulletins/SB08-077.html
헐랭이 2008/04/07 23:46 # 답글
m4gichack // 좋은 정보 감사합니다. 덕택에 해당 취약점이 CVE-2008-1264(http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1264) 과 CVE-2008-1268(http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1268) 으로 나뉘어, 2가지 별개의 취약점으로 관리되고 있다는 것을 알았습니다.