헐랭이와 IT보안 (opt9's IT Security)

swbae.egloos.com

애드센스4


D-Link DIR-615 취약점 보안 정보

국내에서도 애용되고 있는 D-Link DIR-615 유무선 공유기의 취약점.

http://www.hiredhacker.com/2009/12/15/d-link-dir-615-remote-exploit/

취약점: 인증 및 권한 점검 부재.
영향: 공유기를 함께 사용하는 원격지의 공격자가 임의로 설정을 바꿀 수 있음.
해결방법: 벤더 패치 없음.

---<추가>---
이 취약점이 Secunia에서 위험도 2개만 받은게 이해가 안간다.
http://secunia.com/advisories/37777/

해당 공유기를 사용하는 내부 사용자 중 단 한명만 링크를 잘못 클릭하더라도, 외부의 공격자가 공유기를 장악할 수 있게 된다. 더우기 DIR-615는 전세계적으로 많이 팔린 제품이고...

Workaround를 위해 공유기의 IP(default는 192.168.0.1)를 바꿔놓았다고 하더라도, Decloak 기술을 이용해 NAT 내부의 IP를 알아낸 후 간단한 img 태그로 외부의 공격자가 공유기를 장악할 수 있다. 이 과정은 stealthy하게 진행되므로 당사자 입장에선 해킹당하고 있다는 사실을 모르게 된다.

간단한 CGI와 JavaScript, img 태그면 자신이 장악한 DIR-615 공유기의 리스트를 수집하여 봇넷 형태로 관리할 수도 있다. DNS서버를 자신의 서버로 강제 설정한 후 웹 브라우저를 자신이 원하는 광고 서버로 redirect 시켜서 광고수입을 올리는 형태로도 활용할 수 있을 것이다. 정상적인 사이트에 접속하려고 할 때 미리 자신의 서버를 거치도록 하여 악성 ActiveX를 설치하는 형태로도 활용할 수 있을 것이고... 한마디로 활용도가 무궁무진하다.

이글루스 가든 - professional secur...

포스트 메타 정보

자동 검색 관련글

퍼블리싱 및 추천

같은 카테고리의 글

트랙백(0) 덧글(2)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://swbae.egloos.com/tb/2200445 [도움말]

덧글

  • 윤씨 2009/12/28 11:47 # 삭제 답글

    개인적으로 테스트 해 본 결과 작동하지 않았습니다.
    아예 해당 링크로 동작하지 않습니다.(잠깐 경고성 화면이 뜹니다.)

    개인적인 결론입니다.
    1. 국내에 판매되는 DIR-615 모델은 하드웨어 B 버전으로 하드웨어 C 버전인 위의 공유기와는 설계가 조금 다른 모델이고 사용되는 펌웨어도 다릅니다. (국내 버전은 2.25 ~2.27 버전. 3점대 버전의 펌웨어는 우리나라 615 공유기에 설치가 안됩니다.)
    즉, 해당 문제가 아예 적용되지 않을 확률이 크다고 보입니다.
    2. 실행시켰을 경우, 권한이 없다고 나옵니다.
    이 부분은 혹시 몰라서 보조로 사용 중인 DIR-600 에서도 똑같이 나오는 것으로 봐서 (물론 싱글로 떼어 내서 사용 했습니다.) 아예 해당 CGI 에 대해 작동이 근본적으로 차단되어 있다고 봅니다.

    결론.
    그냥 해외의 일이니 우리나라에서 쓰는 분들은 크게 걱정하지 않아도 될 듯 합니다. ^^

  • 헐랭이 2009/12/28 13:42 #

    안그래도 저도 테스트 목적으로 주문한 제품이 오늘 도착해서 방금 테스트해봤는데...
    말씀하신 내용이 맞네요.

    이 제품은 펌웨어 버전 2.25K, 하드웨어 버전 B2라고 적혀있는데, apply.cgi에 인증이 걸려있습니다.

    테스트 와중에 흥미롭게도 reboot.cgi?result=false 를 발견했는데, 국내 제품에는 역시 인증이 걸려있습니다.

    외국 제품은 어떨지 궁금하네요.
댓글 입력 영역

검색

블로그내 검색 영역

애드센스7

News

Exploits

트위터

드림위즈

Dataloss DB

swbae.egloos.com is powered by Egloos. Subscribe to RSS Skin design by 헐랭이.