TP링크의 NC 제품군에서 발견된 취약점...원격 명령 주입 취약점도 2개 있어
일부 장비들에서는 암호화 키가 하드코드 되어 있기도 해...영구 손상 가능

[보안뉴스 문가용 기자] TP링크(TP-Link)가 펌웨어 업데이트를 발표했다. NC 계열 제품군에서 심각한 취약점들이 몇 가지 발견됐기 때문이다. 취약점 중에는 임의 명령을 원격에서 실행하게 해주는 것도 포함되어 있다고 한다.


먼저 NC260과 NC450 모델에서는 명령 주입으로 이어지는 취약점이 발견됐다. 이 취약점에는 CVE-2020-12111라는 번호가 붙었다. 이 취약점을 통해 장비를 감염시킨 다음에 공격자들은 루트에서 원격 명령을 실행할 수 있게 된다.

취약점이 발견된 곳은 ipcamera 바이너리의 httpSetEncryptKeyRpm이라는 메소드로, 사용자가 제어하는 EncryptKey라는 매개변수를 처리하는 것이다. 여기에 사용자 입력값에 대한 확인 절차가 없어 문제가 발생할 수 있다.

이 취약점을 익스플로잇 하기 위해서는 인증 과정을 거친 POST 요청을 setEncryptKey.fcgi로 전송하면 된다. 이를 통해 공격자는 아무 EncryptKey 매개변수를 전송함으로써 사실상 명령을 주입할 수 있게 된다. 루트 권한에서의 명령 실행도 가능하게 된다.

명령 주입형 버그는 하나 더 있다. CVE-2020-12109가 바로 그것이다. TP링크의 NC200, NC210, NC220, NC230, NC250, NC260, NC450 클라우드 카메라들에 영향을 준다. swSystemSetProductAliasCheck라는 메소드에서 발견됐다. 이 메소드는 장비 에일리어스를 설정할 때 사용되는 것으로, 셸 메타캐릭터를 미리 방어할 방법을 갖추고 있지 않다.

이 때문에 swBonjourStartHTTP에서 사용되는 시스템 이름을 통해 셸 명령을 실행할 수 있게 된다. 이를 성공시킨 공격자라면 루트에서 임의 명령을 주입할 수 있게 된다.

이 두 가지 명령 주입 취약점 외에 암호화 키가 하드코드 되어 있는 취약점이 이번에 패치되기도 했다. NC200, NC210, NC220, NC230, NC250, NC260, NC450 장비에서 발견되었다. CVE-2020-12110으로, swSystemBackup과 sym.swSystemRestoreFile이라는 메소드에 있는 것으로 나타났다.

이 취약점을 익스플로잇 하는 데 성공할 경우 공격자들은 백업 파일들을 복호화 하고 FTP 서버 사용자 이름과 비밀번호, WLAN용 비밀번호, PPPOE 사용자 이름과 비밀번호, SMTP 서버 사용자 이름과 비밀번호, DDNS 사용자 이름과 비밀번호와 같은 민감한 데이터에 접근할 수 있게 된다.

이 취약점들을 발견한 건 피에트로 올리바(Pietro Oliva)라는 보안 전문가로, 자신의 블로그를 통해 “이 취약점들을 조합해 악용할 경우 암호화 된 백업 파일들을 웹 인터페이스를 통해 덮어쓰기 하는 게 가능하고, 이를 활용해 장비에 영구적인 손상을 주는 것도 가능하다”고 설명을 덧붙였다.

이 모든 취약점들을 해결해주는 패치는 지난 4월 29일부터 배포되기 시작했다. TP링크의 NC 제품군을 사용하는 중이라면, 이 패치들을 받아 적용하는 것이 안전하다. 기술적인 세부 사항과 패치 링크는 이 페이지(https://seclists.org/fulldisclosure/2020/May/4)를 통해 제공되고 있다.

3줄 요약
1. TP링크의 제품군에서 취약점 다수 발견됨.
2. 원격에서 명령을 주입하고 루트에서 실행시킬 수 있는 취약점이 두 개.
3. 암호화 키가 하드코드 되어 있는 취약점도 있어 장비 자체가 영구적으로 손상될 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>