베트남의 보안 업체가 발견하고 대단히 위험하다고 경고한 디링크의 취약점
지난 4월 다른 문제로 펌웨어 업데이트하면서 패치돼...하지만 디링크도 몰라

[보안뉴스 문가용 기자] 디링크(D-Link)에서 만든 NAS 장비에서 치명적인 취약점이 발견됐다. 문제가 되고 있는 장비는 DNS-320 셰어센터(DNS-320 ShareCenter)이고, 현재 공격자의 완전 장악을 허용하고 있는 것으로 밝혀졌다. 따라서 저장된 데이터도 위험하다.


이를 처음 발견한 건 베트남의 보안 업체인 사이스택 시큐리티(CyStack Security)로, 8월 중순 문제를 발견해 디링크에 알렸다고 한다. 약 한 달이 지나고 디링크는 보안 권고 사항을 발표했으나, 패치는 없었다. 왜냐하면 지난 4월에 발표한 펌웨어 패치를 통해 우연히 문제를 해결했다는 것이 발견되었기 때문이다.

당시 디링크는 자사의 NAS 장비를 감염시키고 있는 크립토(Cr1pT0r) 랜섬웨어가 익스플로잇 하는 취약점을 패치하기 위해 펌웨어 2.06b01을 발표했었다. 이를 통해 또 다른 문제가 해결되었다는 건 디링크도 몰랐고 사이스택도 몰랐다.

문제의 취약점은 CVE-2019-16057이다. 사이스택은 이 취약점의 CVSS 점수가 10점이라고 발표했다. 가장 위험도가 높은 취약점인 것이다. 여기에 해당되는 건 2.05b10 및 이전 버전의 펌웨어가 장착된 디링크 DNS-320 장비들인 것으로 알려져 있다. 위 펌웨어로 업데이트할 경우 문제는 사라진다.

사이스택의 보안 전문가 응구옌 당(Nguyen Dang)은 “인터넷을 통해 직접 익스플로잇이 가능한 취약점”이라고 설명하며, 현재 인터넷을 스캔하면 800개 정도의 취약한 장비가 연결되어 있다는 걸 알 수 있다고 말한다. “모든 디링크의 DNS-320 장비들은 4월 패치가 있기 전부터 취약한 상태였습니다. 4월 패치가 반드시 적용되어야 합니다.”

사이스택에 의하면 CVE-2019-16057은 일종의 명령 주입 취약점으로, DNS-320 관리자 인터페이스의 로그인 모듈에 존재한다고 한다.

로그인 모듈의 정확한 이름은 /cgi/login_mgr.cgi으로, port라는 이름의 매개변수를 포함하고 있다. 문제의 근원은 바로 이 매개변수다. 인증 과정을 통과하지 않은 공격자가 이를 악용함으로써 루트 권한으로 임의의 명령을 실행할 수 있게 된다. 이를 통해 표적이 된 장비를 완전히 장악하고 저장된 파일들까지 마음대로 할 수 있다.

사이스택은 자사 블로그를 통해 이 취약점에 대한 기술적 세부 내용(https://blog.cystack.net/d-link-dns-320-rce/)을 공개했다. 또한 취약점을 어떻게 발견하게 됐는지도 함께 공유했다.

3줄 요약
1. 디링크 사의 NAS 장비에서 10점 만점짜리 치명적 취약점 나옴.
2. 익스플로잇 할 경우 장비 전체와 데이터에 대한 통제권이 공격자에게 넘어감.
3. 우습게도 실수로(?) 지난 4월에 패치된 적 있는 취약점.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>