미국 사이버보안 및 인프라 보안국(CISA)은 최근 두 개의 중요한 보안 취약점을 D-Link 라우터에서 발견하고 이를 알려진 취약점 목록(KEV)에 추가했다.
◆D-Link 라우터 취약점
CISA가 식별한 취약점은 D-Link DIR-600 및 DIR-605 라우터에 영향을 미치며, 이들은 적극적으로 악용되고 있어 사용자의 위험을 높이고 있다.
1. CVE-2014-100005: 이는 D-Link DIR-600 라우터에 영향을 미치는 크로스 사이트 요청 위조(CSRF) 취약점이다. 이 취약점은 공격자가 기존 관리자 세션을 탈취하여 라우터 설정을 변경할 수 있게 한다. 이러한 공격은 무단 접근과 심각한 네트워크 침해를 초래할 수 있다.
2. CVE-2021-40655: D-Link DIR-605 라우터에서 발견된 이 정보유출 취약점은 공격자가 /getcfg.php 페이지로 위조된 HTTP POST 요청을 보내 사용자 이름과 비밀번호를 획득할 수 있게 한다. 공격자가 이러한 자격 증명을 획득하면 라우터를 완전히 제어할 수 있어 심각한 보안 위험을 초래한다.
연방 기관들은 2024년 6월 6일까지 공급업체가 제공하는 완화 조치를 적용할 것을 권고받았다. 특히, CVE-2014-100005는 더 이상 보안 업데이트를 받지 않는 생애 종료(EoL) 상태의 구형 D-Link 제품에 영향을 미친다. 이러한 라우터를 여전히 사용하는 조직은 가능한 한 빨리 교체해야 한다.
◆D-Link DIR-X4860 라우터의 미패치 결함
DIR-X4860 라우터에서 패치되지 않은 보안 문제도 발견됐다. 이러한 취약점은 원격 비인가 공격자가 HNAP(Home Network Administration Protocol) 포트에 접근하여 권한을 상승시키고 루트 권한으로 명령을 실행할 수 있게 한다. 인증 우회를 명령 실행과 결합하면 장치를 완전히 장악할 수 있다.
SSD 시큐어 디스클로저는 라우터의 관리 인터페이스에 특수하게 제작된 HNAP 로그인 요청을 사용하는 PoC(개념 증명) 익스플로잇도 공개했다. 이 요청은 인증 보호를 우회하고 명령 주입 취약점을 악용하여 코드 실행을 달성한다. D-Link는 이러한 문제를 인정했으며, "패치 예정 / 개발 중"이라고 밝혔다.
◆이반티(Ivanti) EPMM 취약점
D-Link 라우터 문제 외에도, 사이버 보안 연구원들은 Ivanti Endpoint Manager Mobile(EPMM)의 중요한 취약점을 찾아냈다. 이 취약점은 CVE-2024-22026으로 알려졌고, CVSS 점수는 6.7이다. 이 취약점은 인증된 로컬 사용자가 쉘 제한을 우회하고 장치에서 임의의 명령을 실행할 수 있게 한다.
이 취약점은 사용자 제공 URL에서 임의의 RPM 패키지를 인증 없이 가져올 수 있는 EPMM 명령줄 인터페이스 설치 명령의 불충분한 검증에서 기인한다. 이 결함은 12.1.0.0 이전 모든 EPMM 버전에 영향을 미친다.
이반티는 또한 EPMM에서 두 개의 추가 SQL 주입 취약점(CVE-2023-46806 및 CVE-2023-46807, CVSS 점수: 6.7)을 패치했다. 이들 취약점은 적절한 권한을 가진 인증된 사용자가 기본 데이터베이스의 데이터를 액세스하거나 수정할 수 있게 한다. 이러한 결함이 실제로 악용되었다는 증거는 없지만, 사용자는 잠재적 위협을 완화하기 위해 최신 버전으로 업데이트할 것을 권장한다.
널리 사용되는 라우터와 기업 관리 시스템의 알려진 취약점은 바로 보안 패치를 적용해야 해킹 사고를 방지할 수 있다.
조직은 특히 사용 종료된 장치를 정기적으로 업데이트하거나 교체해 위험을 완화해야 한다.
또한, 제로데이 취약점에 대해 공급업체는 최대한 신속하게 패치를 공개해야 공급망 공격 피해를 최소화할 수 있다.