치명적인 원격 코드 실행 취약점...장비의 완전 장악으로까지 이어질 수 있어
봇넷 확산과 C&C 연결에 유리해...미라이 변종 개발자들이 좋아할 만

[보안뉴스 문가용 기자] IBM의 엑스포스(X-Force)팀이 TP링크(TP-Link)에서 만든 와이파이 확장기에서 치명적인 원격 코드 실행 취약점을 발견했다. 이 취약점을 익스플로잇 할 경우 장비의 완전 장악이 가능해진다고 한다. TP링크 측은 펌웨어 업데이트를 개발해 배포하기 시작했다.


IBM 엑스포스에 소속된 연구원 그레고쥬 와이파이크(Grzegorz Wypych)는 TP링크 라우터들을 분석하면서 꽤나 심각한 사태로 이어질 수 있는 취약점을 발견했다고 한다. 문제가 됐던 모델은 TP링크 RE365 와이파이 확장기였다. 펌웨어 버전은 1.0.2, 빌드는 20180213이었다. 보고를 받은 TP링크도 독자적인 분석을 통해 RE650, RE350, RE500 모델에서도 같은 취약점을 찾아냈다.

와이파이 확장기는 무선 라우터로부터 들어오는 와이파이 신호를 다른 곳으로 전달해, 궁극적으로 와이파이의 범위를 넓히는 기능을 가지고 있다.

이번에 와이파이크가 발견한 취약점은 CVE-2019-7406으로 할당됐으며, 원격에서 승인 과정을 거치지 않은 공격자가 HTTP 헤더를 통해 공격할 수 있는 것으로 알려졌다. 이 취약점에 노출되어 있다고 알려진 모든 장비들이 루트 권한으로 실행되기 때문에 공격자는 임의의 셸 명령어를 높은 권한으로 활용할 수도 있게 되며, 따라서 장비의 완전 장악도 가능하다고 한다.

와이파이크는 블로그 포스트를 통해 “일반 개인 사용자부터 기업까지 피해자가 될 수 있다”며 “공격자가 아무 요청을 확장기에 보낼 수 있게 해주는 취약점”이라고 정리했다. “공격자가 아무 요청이나 보낼 수 있다는 건, 꽤나 심각한 사안입니다. 예를 들어 장비를 통해 봇넷 C&C 서버와 연락을 하거나, 봇넷의 크기를 넓히는 행위도 할 수 있게 되거든요.”

그러면서 와이파이크는 “이 취약점을 통해 미라이(Mirai)와 같은 봇넷이 또 다시 형성될 수 있다는 가능성이 가장 먼저 생각났다”고 밝히기도 했다. “소스코드가 풀린 미라이는 현재 각종 변종의 형태로 나타나고 있습니다. 개발자들은 여러 가지 익스플로잇을 첨가하고 있고요. 이 취약점도 미라이 변종 제작자들이 좋아할 만한 것이라고 볼 수 있습니다.”

와이파이크의 보고를 받은 TP링크 측은 해당되는 모든 장비들에 대한 펌웨어 업데이트를 개발했다. 현재까지 조사한 바에 의하면 위에 언급된 모델들 외 장비들에서는 취약점이 발견되지 않았다.

3줄 요약
1. TP링크에서 만든 RE365, RE650, RE350, RE500 모델에서 취약점 발견됨.
2. 원격에서 아무 요청이나 전송하게 함으로써, 장비 장악까지 이어지게 해주는 취약점임.
3. 아마도 미라이 멀웨어 변종 개발자들이 좋아할 만한 취약점. 얼른 패치하는 게 답.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>