한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
패치되지 않은 제로
중국 회사 Akuvox의 인기 있는 스마트 인터콤 및 비디오폰인 E11은 인증되지 않은 원격 코드 실행(RCE)을 허용하는 치명적인 버그를 포함하여 12가지 이상의 취약점으로 가득 차 있습니다.
이를 통해 악의적인 행위자가 조직의 네트워크에 액세스하고, 장치에서 캡처한 사진이나 비디오를 훔치고, 카메라와 마이크를 제어하고, 심지어 문을 잠그거나 잠금 해제할 수도 있습니다.
보안 회사인 Claroty의 Team82는 E11이 이미 설치된 사무실로 이사하면서 장치의 약점을 알게 되면서 취약점을 발견하고 강조했습니다.
Team82의 구성원들은 장치에 대한 호기심이 본격적인 조사로 바뀌어 13개의 취약점을 발견했으며, 이를 사용된 공격 벡터에 따라 세 가지 범주로 분류했습니다.
처음 두 가지 유형은 로컬 영역 네트워크 내 RCE를 통해 발생하거나 E11 카메라 및 마이크의 원격 활성화를 통해 발생하여 공격자가 멀티미디어 녹음을 수집하고 추출할 수 있습니다. 세 번째 공격 벡터는 안전하지 않은 외부 FTP(파일 전송 프로토콜) 서버에 대한 액세스를 표적으로 삼아 공격자가 저장된 이미지와 데이터를 다운로드할 수 있도록 합니다.
가장 눈에 띄는 버그 중 하나인 중요한 위협인 CVE-2023-0354(CVSS 점수 9.1)는 사용자 인증 없이 E11 웹 서버에 액세스할 수 있게 하여 잠재적으로 공격자가 민감한 정보에 쉽게 액세스할 수 있게 해줍니다.
CISA(사이버보안 및 인프라 보안국)에 따르면 "Akuvox E11 웹 서버는 사용자 인증 없이 액세스할 수 있으며 이로 인해 공격자가 민감한 정보에 액세스할 수 있을 뿐만 아니라 알려진 기본 URL을 사용하여 패킷 캡처를 생성 및 다운로드할 수 있습니다." , 취약점 개요를 포함하여 버그에 대한 권고를 게시했습니다.
또 다른 주목할만한 취약점(CVE-2023-0348, CVSS 점수 7.5)은 iOS 및 Android 사용자가 E11과 상호 작용하기 위해 다운로드할 수 있는 SmartPlus 모바일 앱과 관련이 있습니다.
핵심 문제는 IP 네트워크를 통해 둘 이상의 참가자 간의 통신을 가능하게 하는 오픈 소스 SIP(Session Initiation Protocol)의 앱 구현에 있습니다. SIP 서버는 SmartPlus 사용자가 특정 E11에 연결할 수 있는 권한을 확인하지 않습니다. 즉, 앱이 설치된 개인은 누구나 방화벽 뒤에 있는 E11을 포함하여 웹에 연결된 모든 E11에 연결할 수 있습니다.
Claroty 보고서에 따르면 "우리는 연구실의 인터콤과 사무실 입구의 인터콤을 사용하여 이를 테스트했습니다."라고 합니다. "각 인터콤은 서로 다른 계정 및 서로 다른 당사자와 연결되어 있습니다. 실제로 연구실 계정에서 문에 있는 인터콤으로 SIP 통화를 하여 카메라와 마이크를 활성화할 수 있었습니다."
Team82는 2022년 1월부터 취약점을 Akuvox에 알리려는 시도를 설명했지만 여러 번의 지원 시도 끝에 Claroty의 공급업체 계정이 차단되었습니다. 이후 Team82는 제로데이 취약점을 자세히 설명하고 CERT/CC(CERT Coordination Center) 및 CISA가 참여한 기술 블로그를 게시했습니다.
E11을 사용하는 조직에서는 취약점이 수정될 때까지 인터넷 연결을 끊거나 카메라가 민감한 정보를 기록할 수 없도록 하는 것이 좋습니다.
Claroty 보고서에 따르면 근거리 통신망 내에서 "조직은 Akuvox 장치를 기업 네트워크의 나머지 부분과 분리하고 분리하는 것이 좋습니다"라고 합니다. "장치는 자체 네트워크 세그먼트에 있어야 할 뿐만 아니라 이 세그먼트에 대한 통신은 최소한의 엔드포인트 목록으로 제한되어야 합니다."
점점 더 연결되는 장치의 세계로 인해 정교한 공격자가 공격할 수 있는 공격 표면이 넓어졌습니다.
주니퍼 리서치(Juniper Research)에 따르면 산업용 사물 인터넷(IoT) 연결 수(배포된 전체 IoT 장치 수를 측정)만 해도 2020년 177억 개에서 2025년 368억 개로 두 배 이상 증가할 것으로 예상됩니다.
NIST(국립표준기술연구소)가 IoT 통신 암호화 표준을 확정했지만, 많은 장치는 여전히 취약하고 패치가 적용되지 않았습니다.