해외 보안 컨퍼런스인 ToorCon Seattle 2008 에서 신호등 관리 시스템의 취약점이 발표되었습니다.
문제가 된 시스템은 이코노라이트(Econolite) 사의 ASC/3 시스템으로 임베디드 운영체제인 VxWorks 5.x 버전을 사용 중이라고 합니다.
아쉽게도 해당 시스템은 익명 FTP 와 SNMP 가 활성화된 상태로 출시되기 때문에, 누구나 FTP 로 접속하여 시스템 상세 정보가 담긴 ASC3.DB 바이너리 파일을 다운로드 받을 수 있다고 합니다. 예전의 Linksys WRT54G v7 취약점과 유사한 취약점이죠.
발표자가 ASC3.DB 바이너리 파일에 담긴 정보를 추출/변경하는 http://frob.us/projects/asc3/ 프로젝트를 론칭해서 소스코드를 배포하고 있다네요(너무 많이 알려지게 되면서, 소스는 다운로드 받을 수 없도록 변경한 듯...)
오늘의 교훈
1. VxWorks 기반에서 개발할 때는 FTP 서비스를 활성화하지 않도록 주의하자.
출처 : http://www.hackaday.com/2008/04/22/toorcon-seattle-2008-lightning-talks/
이글루스 가든 - professional secur...
문제가 된 시스템은 이코노라이트(Econolite) 사의 ASC/3 시스템으로 임베디드 운영체제인 VxWorks 5.x 버전을 사용 중이라고 합니다.
아쉽게도 해당 시스템은 익명 FTP 와 SNMP 가 활성화된 상태로 출시되기 때문에, 누구나 FTP 로 접속하여 시스템 상세 정보가 담긴 ASC3.DB 바이너리 파일을 다운로드 받을 수 있다고 합니다. 예전의 Linksys WRT54G v7 취약점과 유사한 취약점이죠.
발표자가 ASC3.DB 바이너리 파일에 담긴 정보를 추출/변경하는 http://frob.us/projects/asc3/ 프로젝트를 론칭해서 소스코드를 배포하고 있다네요(너무 많이 알려지게 되면서, 소스는 다운로드 받을 수 없도록 변경한 듯...)
오늘의 교훈
1. VxWorks 기반에서 개발할 때는 FTP 서비스를 활성화하지 않도록 주의하자.
출처 : http://www.hackaday.com/2008/04/22/toorcon-seattle-2008-lightning-talks/
이글루스 가든 - professional secur...
덧글
m4gichack 2008/04/26 18:44 # 삭제 답글
영화에서 악당들이 신호등 컨트롤해 일방 통행을 만들어 탈출하는 장면이 생각이 나네요~~^^
헐랭이 2008/04/26 21:19 # 답글
이코노라이트(Econolite)라는 업체는 신호등 제어 분야에서 상당한 위치에 있는 사업자인 듯 합니다. 특히 지능형 교통관리 시스템(ITS) 쪽으로 유명한 것 같더군요.
2009/07/21 18:57 # 삭제 답글 
비공개 덧글입니다.