Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보900만대이상 노출된 XiongMai Cloud 취약점
작성일 2018-10-19 조회 1587

지난 10월 9일 SEC Consult 보안 연구원은 Xiongmai Video 장치에서 찾은 취약점을 발표하였습니다.

지난 2016년부터 발생했던 Netflix, Twitter, GitHub, Spotify, Airbnb에 대한 DDoS 공격과 사상 초유의 서비스 중단 사태를 초래한 Dyn에 대한 DDoS 공격을 일으켰던 Mirai와 Mirai의 변종은 다수의 Xiongmai 장치에 의해 동작하였습니다.

 

[그림. 1] DDoS 공격 히스토리 그래프 (https://elie.net/mirai)

 


당시에는 TCP 포트 23 (텔넷) 및 9527 (텔넷과 같은 콘솔 인터페이스)을 통해 하드 코드 된 자격 증명을 사용하여 높은 권한의 셸 액세스를 제공한다는 사실을 악용한 단순 계정 대입 공격이었습니다.

 

 

 

 


[그림. 2] 당시 Mirai공격 대상이었던 XiongMai 플랫폼의 제품들

 


하지만 이번에 발표된 XiongMai XMEye P2P Cloud 취약점은 모든 Xiongmai 장치에 기본적으로 활성화되어있는 "XMEye P2P Cloud"라는 기능을 이용했습니다.


XMEye P2P Cloud은 사용자가 인터넷을 통해 IP 카메라 또는 NVR / DVR에 액세스 할 수있게하는 독점 프로토콜로 사용자는 다양한 XMEye 앱 (Android, iOS), 'VMS'라고하는 데스크톱 애플리케이션 또는 앱 개발자를위한 SDK를 사용하여 기기에 연결할 수 있습니다.

 

 


[그림. 3] XiongMai XMEye P2P Cloud Moblie Application화면

 


모든 연결은 Xiongmai가 제공하는 클라우드 서버 인프라를 통해 설정되는데 각 장치에는 클라우드 ID 또는 UID라는 고유 한 ID가 있습니다
SEC Consult 보안 연구원이 UID에 대한 무작위 표본 검사를 한 결과 온라인에 노출된 장비가 최소 900만개 이상이라고 추정하고 있습니다.

 

각 클라우드는 지역별로 할당되어 있으며,

 

Hop server  위치 중국 : 5,438,000 
Hop server  위치 독일 : 1,319,000 
Hop server  위치 미국 : 742,000 
Hop server  위치 싱가포르 : 697,000 
Hop server  위치 일본 : 577,000 
Hop server  위치 터키 : 189,000 

 

로 추정하고 있다고 합니다.

 

 

 

 

취약점 분석

이번 취약점은 과거 로컬에서 이루어지던 자격증명 과정을 클라우드를 통해 하면서 Default 계정 또는 admin 계정이 활성화 된 경우 발생합니다.
Shodan을 통해서도 취약점이 포함된 제품군에 대한 검색이 가능합니다.

(물론 취약점 검색이 아닌 취약점이 포함된 제품군에 대한 검색입니다.)

 

Shodan 검색어
 "NETSurveillance hostport=34567"

 

검색된 장비에 접속하게 되면 로그인 페이지 소스코드에 자격검증에 사용되는 포트정보 및 클라우드에 대한 정보 확인이 가능합니다.

 

 

[그림. 4] 하드코딩 되어 있는 Port 정보 및 해당 지역 XMEye P2P Cloud 정보

 


SEC Consult 보안 연구원은 추가로 로그인 실패에 대한 임계치가 존재하지 않아 다양한 실험을 시도했으며 다음과 같은 사실을 확인했다고 전했습니다.

 

username : admin
password :
username : default
password : tluafed

 

두개의 기본계정을 확인했으며, 두 계정을 이용해 접속 및 펌웨어 업데이트 파일 생성이 가능합니다.

 

 


[그림. 5] admin 계정을 통해 접속에 성공 (관리자 Interface화면)

 

 

[그림. 6] admin 계정을 통해 접속에 성골 (패킷 캡쳐 화면) 

 

 


[그림. 7] default 계정을 통해 접속에 성공 (관리자 Interface화면)

 

 

[그림. 8] default 계정을 통해 접속에 성골 (패킷 캡쳐 화면) 

 


공격자는 단순히 계정을 탈취하는게 목적이 아니라 해당 장비의 펌웨어 업데이트를 조작할 수 있습니다.

 

그 이유는 Xiongmai 또는 Xiongmai OEM 기반의 Video 장비의 펌웨어 업데이트에는 서명이 되어 있지 않기 때문입니다.  공격자는 펌웨어 업데이트에 포함 된 파일 시스템을 수정하거나 펌웨어 업데이트 파일의 "InstallDesc"파일을 수정해 사용자에게 배포 할 수 있습니다.

 

 


[그림. 9] ActiveX 설치 요청 화면

 

 

[그림. 10] NETSurveillance Setup 화면

 


이럴 경우 해당 장비를 이용하는 모든 사용자에게 백도어 또는 RAT를 설치해 제2의 공격 타겟을 만들 수 있습니다.
이렇게 취약한 다수의 IoT 기기는 기하급수적인 피해자를 양산 시킬 수 있습니다. 

 

또 다른 문제는 이러한 제품이 단지 Xiongmai 제품만이 아니라 Xiongmai OEM 기반의 Video 장비에서도 동일하게 발생할 수 있습니다.   XMEye P2P Cloud 사용여부는 설명 페이지에도 자세히 안 나와 있는 경우도 있어 결국 사용자 개개인의 주의가 필요합니다.

 

 


[그림. 11] 해당 취약점에 영향을 받는 OEM 제조사

 

 

 


대응방안

Xiongmai는 7개월 전에 해당 사실을 통보 받았지만 아직까지 해결을 하고 있지 않습니다.
더 큰 문제는 통보했지만  2017년에 발표된 취약점(CVE-2017-16725,CVE-2018-10088)이 최신 펌웨어 버전에서도 아직까지 수정되지 않고 있습니다.

 

이미 미국에서는 Hangzhou Hikvision Digital Technology Company 및 Dahua Technology 업체의 비디오 감시 장치 판매를 금지했습니다.
사유는 Xiongmai와 같은 보안상 결함의 이유입니다. 머지 않아 Xiongmai도 같은 위기에 직면하리라 봅니다.

 

현재는 보안상 취약한 제품은 최대한 사용을 자제하는 방법이 최선의 대응방안이라고 할 수 밖에 없는 상황입니다.

 

 

 

 

WINS Sniper 대응방안
Sniper-IPS

[4515] XiongMai XMEye P2P Cloud Default Account
[4516] XiongMai XMEye P2P Cloud Admin Account

Sniper-UTM

[805374694] XiongMai XMEye P2P Cloud Default Account
[805374695] XiongMai XMEye P2P Cloud Admin Account

Sniper-APTX

[3766] XiongMai XMEye P2P Cloud Default Account
[3767] XiongMai XMEye P2P Cloud Admin Account

 

 

 

 

참조
https://www.sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/

첨부파일 첨부파일이 없습니다.
태그 XiongMai   XMEye P2P Cloud