Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보D-Link 라우터 0-Day 취약점 다수 공개
작성일 2017-09-21 조회 1679

 

 

대만 네트워크 기기 회사인 디링크 라우터에서 사이버 공격을 유발하는 심각한 제로데이 취약점 10개가 발견됐다. 해당 기기는 주로 일반인이나 소규모 기업에서 쓰고 있어 주의가 요구된다.
더레지스터는 한 보안전문가가 디링크 라우터에서 발견한 제로데이 취약점을 공개했다고 보도했다. 보안연구원 피에르 킴은 취약점 발견 후 디링크에 조치를 권고했으나 받아들여지지 않자 해당 내용을 공개했다.
2015년 국내 보안 기업 NSHC도 디링크 CCTV에서 의도적으로 숨겨진 백도어를 발견해 보고했다. CCTV에 들어있던 백도어는 암호화를 적용, 고도화된 은닉 기법을 사용했다. 중요한 산업정보를 유출하거나 적대 국가 기업이 간첩활동을 하는데 이용되는 수준이었다. 국내는 물론 해외 보안전문가들이 디링크 제품 보안성에 지속해 문제를 제기하고 있어 해당 기업 제품 도입 시 주의가 요구된다.

피에르 김 연구원(https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html)은 디링크 DIR850L 무선 AC1200 듀얼밴드 기가비트 클라우드 라우터에서 10개에 달하는 제로데이 취약점을 찾았다. 연구원은 지난 2월 해당 취약점을 디링크에 알렸는데 보안 업데이트가 이뤄지지 않았다. 이번에 발견한 제로데이 취약점은 디링크에 알리지 않고 일반에 공개했다.
디링크 라우터는 우선 펌웨어 변조에 무방비로 노출됐다. 펌웨어 이미지를 보호하는 정책이 없어 라우터에 악성 펌웨어를 올릴 수 있다. 디도스 공격 등 다양한 사이버 위협에 노출된다.


크로스사이트스크립트(XSS) 취약점도 있다. 디링크 라우터는 XSS 결점에 취약해 공격자가 인증된 사용자를 공격해 인증쿠키를 훔칠 수 있다. 라우터와 연결되는 클라우드 서비스 '마이디링크' 프로토콜 결함도 존재한다. 관리자 비밀번호 관리도 취약하다. 공격자는 사용자 라우터를 공격자 계정에 등록해 라우터 전체 권한을 얻을 수 있다.
라우터와 마이디링크 사이에 통신을 보호하는 암호화도 없다. 라우터 펌웨어에 개인 암호화키가 하드코딩돼 중간자 공격으로 추출할 수 있다.

피에르 김 연구원은 “디링크 라우터는 보안을 고려하지 않고 설계된 취약점 덩어리”라며 “제조사에 취약점을 알렸지만 언제 보안 업데이트가 이뤄질지는 알 수 없다”고 설명했다. 그는 “디링크 라우터 사용자라면 당장 네트워크에서 해제하는 게 가장 쉬운 보안 방법”이라고 덧붙였다.

<기사출처 : http://www.etnews.com/20170913000166>

 

 

봇넷을 연구한 EMBEDI(https://embedi.com/blog/enlarge-your-botnet-top-d-link-routers-dir8xx-d-link-routers-cruisin-bruisin)에서도 DIR890L, DIR885L, DIR895L 모델 취약점 2개를 공개했다.

미라이 봇과 같은 유형의 봇에 적용 가능한 취약점 공격으로 스크립트 POC까지 제공했으며, 해당 취약점도 0-Day라고 주장하고 있다.

 

 

 

► Sniper 제품군 대응현황

 

Sniper-IPS

[3710] D-Link PHP ActionTag XSS
[3711] D-Link phpcgi Authentication Bypass Password Disclosure
[3733] D-Link Alphanetworks Defulat Password Access

 

Sniper-UTM

[805374230] D-Link PHP ActionTag XSS
[805374231] D-Link phpcgi Authentication Bypass Password Disclosure
[805374228] D-Link HNAP Login Value Overflow RCE
[805374229] D-Link mydlink Cloud Retrieving Admin Password 
[805374244] D-Link Alphanetworks Defulat Password Access

 

Sniper-APTX

[2918] D-Link PHP ActionTag XSS
[2919] D-Link phpcgi Authentication Bypass Password Disclosure
[2916] D-Link HNAP Login Value Overflow RCE
[2917] D-Link mydlink Cloud Retrieving Admin Password
[2926] D-Link Alphanetworks Defulat Password Access

 

 

 

 

1.Lack of proper firmware protection?since the protection of the firmware images is non-existent, an attacker could upload a new, malicious firmware version to the router. Firmware for D-Link 850L RevA has no protection at all, while firmware for D-Link 850L RevB is protected but with a hardcoded password.
2.Cross-site scripting (XSS) Flaws?both LAN and WAN of D-Link 850L RevA is vulnerable to "several trivial" XSS vulnerability, allowing an attacker "to use the XSS to target an authenticated user in order to steal the authentication cookies."
3.Retrieve admin passwords?both LAN and WAN of D-Link 850L RevB are also vulnerable, allowing an attacker to retrieve the admin password and use the MyDLink cloud protocol to add the user's router to the attacker's account to gain full access to the router.
4.Weak cloud protocol?this issue affects both D-Link 850L RevA and RevB. MyDLink protocol works via a TCP tunnel that use no encryption at all to protect communications between the victim's router and the MyDLink account.
5.Backdoor Access?D-Link 850L RevB routers have backdoor access via Alphanetworks, allowing an attacker to get a root shell on the router.
6.Private keys hardcoded in the firmware?the private encryption keys are hardcoded in the firmware of both D-Link 850L RevA and RevB, allowing to extract them to perform man-in-the-middle (MitM) attacks.
7.No authentication check?this allows attackers to alter the DNS settings of a D-Link 850L RevA router via non-authenticated HTTP requests, forward the traffic to their servers, and take control of the router.
8.Weak files permission and credentials stored in cleartext?local files are exposed in both D-Link 850L RevA and RevB. In addition, routers store credentials in clear text.
9.Pre-Authentication RCEs as root?the internal DHCP client running on D-Link 850L RevB routers is vulnerable to several command injection attacks, allowing attackers to gain root access on the affected devices.
10.Denial of Service (DoS) bugs?allow attackers to crash some daemons running in both D-Link 850L RevA and RevB remotely via LAN.

 

 

► 취약시스템

D-Link DIR 850L
D-Link DIR 890L
D-Link DIR 885L
D-Link DIR 895L

 

 

► 해결방안

1. 벤더사의 최신 펌웨어를 설치한다.
(support.dlink.com)
2. 승인되지 않은 자의 라우터 웹서비스 접근을 차단한다.
3. 주기적으로 장비의 계정과 비밀번호를 변경한다
첨부파일 첨부파일이 없습니다.
태그   CVE-2017-14413  CVE-2017-14417  CVE-2017-14415