네트워크 장비 회사 넷기어는 원격 공격자가 취약한 시스템을 제어하기 위해 악용할 수 있는 여러 라우터에 영향을 미치는 심각도 높은 원격 코드 실행 취약점을 수정하기 위한 패치를 출시했다.

CVE-2021-40847(CVSS 점수: 8.1)으로 알려진 이번 보안취약점은 다음과 같은 모델에 영향을 끼친다.

-R6400v2 (수정된 펌웨어 버전: 1.0.4.120)

-R6700 (수정된 펌웨어 버전: 1.0.2.26)

-R6700v3 (수정된 펌웨어 버전: 1.0.4.120)

-R6900 (수정된 펌웨어 버전: 1.0.2.26)

-R6900P (수정된 펌웨어 버전: 3.3.142_HOTFIX)

-R7000 (수정된 펌웨어 버전: 1.0.11.128)

-R7000P (수정된 펌웨어 버전: 1.3.3.142_HOTFIX)

-R7850 (수정된 펌웨어 버전: 1.0.5.76)

-R7900 (수정된 펌웨어 버전: 1.0.4.46)

-R8000 (수정된 펌웨어 버전: 1.0.4.76)

-RS400 (수정된 펌웨어 버전: 1.5.1.80)

그림(GRIMM) 보안 연구원에 따르면, 이 취약점은 유해 콘텐츠 차단 기능을 제공하는 펌웨어에 포함된 타사 구성 요소인 Circle 내에 있으며, 라우터가 웹 사이트 및 앱의 일일 인터넷 시간을 제한하도록 구성되지 않은 경우에도 기본적으로 Circle 업데이트 데몬이 실행되도록 설정되어 있다. 이로 인해 네트워크 액세스 권한이 있는 악의적인 사용자가 MitM(Man-in-the-Middle) 공격을 통해 루트로 원격 코드 실행(RCE)을 획득할 수 있는 시나리오가 발생한다.

더해커뉴스 보도에 따르면, 이것은 업데이트 데몬(circled)이 Circle 및 넷기어에 연결하여 HTTP를 사용하여 다운로드되는 서명되지 않은 필터링 데이터베이스에 대한 업데이트를 가져오는 방식으로 인해 가능하다. MitM 공격을 수행하고 특별히 제작된 압축 데이터베이스 파일로 업데이트 요청에 응답하여 실행 가능한 바이너리를 악성 코드로 덮어쓸 수 있다고 전했다.

연구원은 "이 코드는 영향을 받는 라우터에서 루트로 실행되기 때문에 RCE를 얻기 위해 이 코드를 악용하는 것은 핵심 넷기어 펌웨어에서 발견되는 RCE 취약점만큼 피해를 준다"라며 "이 특정한 취약점은 공격 표면 감소의 중요성을 다시 한 번 보여준다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★