Biznet Bilisim 의 Yavuz Atlas 연구원이 삼성 DVR 소프트웨어의 Smart Viewer 에서 발생하는 XSS 취약점을 공개하였습니다.

 

 

사용자의 아이디, 비밀번호를 입력하는 변수가 아닌 랜덤한 숫자값이 들어가는 data3 변수에대해 적절한 유효성 검사가 존재하지 않아서 발생합니다.

 

 

실제 삼성 Smar Viewer 의 로그인 페이지를 확인해보면 아래와 같이 4개의 변수를 통해 Cookie 값이 설정되는것을 확인 할 수 있습니다.

data1(ID), data2(PW), data3(1미만의 값), data4(랜덤값)

 

[그림1. setcookie() 함수]

 

 

4개의 변수 중에 data3 변수에 악의적인 script 구문을 포함하여 요청하게 되면 피해자의 웹브라우저에서 해당 script 구문이 실행되게 됩니다.

 

setcookie 함수의 data3 변수에 공격자가 요청한 <script>alert(1)</script> 구문이 그대로 설정 됩니다.

 

[그림2. alert script 구문 실행 내역]

 

 

 

해당 취약점에 대해 "CVE-2018-11689" 가 할당 되었으며, 해당 CVE를 통해 취약점에 대해 상세한 파악이 가능합니다.

 

[그림3. CVE 내역]

 

 

IOT 에 대한 다수의 취약점이 존재하고 있는 상황에서 기기에 대한 접근 페이지를 외부에 공개된 상태로 사용하는 것은 바람직하지 않습니다.

 

최소한의 사용자만 적절한 권한을 부여하여 운영하여 취약점이 발생하는 Point 를 줄이는 노력이 필요합니다.

 

[그림4. 외부에 공개된 상태로 사용중인 서버]

 

 

WINS Sniper 대응 방안

 

Sniper-IPS

Sniper-UTM

 

Sniper-APTX

 

 

 

참조
http://seclists.org/fulldisclosure/2018/Jun/40?utm_source=feedburner&;utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://vulmon.com/vulnerabilitydetails?qid=CVE-2018-11689