해커가 악용 시 원격으로 장치 제어권한 획득 가능
[CCTV뉴스=최형주 기자] 미국의 보안컨설팅기업 ISE(Independent Security Evaluators)가 13개의 SOHO 라우터와 NAS 장치와 같은 임베디드 특수목적 컴퓨팅 시스템에서 125개의 취약점을 발견했다. 발견된 취약점 중 일부의 경우는 악용될 경우 장비 자체를 완전히 제어할 수 있어 유사 제품 이용자들의 철저한 보안 주의가 필요하다.
ISE가 16일 공개한 연구 보고서 ‘SOHOpelessly Broken 2.0’에 따르면, 13개 장치 모두 XSS(Cross-Site Scripting), OS CMDi(Operating System Command Injection) 또는 SQLi(SQL Injection)와 같이 해커가 원격으로 장치 제어 권한을 얻을 수 있는 웹 응용 프로그램 취약점이 하나 이상 존재했다.
연구진은 장치의 기본 구성을 사용하고, 펌웨어는 최신 버전으로 업데이트 한 후 취약점을 평가했다고 밝혔다. 또한 초기 설정 마법사를 완료하고 제시된 권장 보안 기능을 활성화했으며, 이러한 상태에서 대상 장치를 원격으로 손상시키는 연구를 진행했다고 설명했다. 공개된 각 업체별 취약점은 다음과 같이 나타났다.
ISE 연구진은 “발견된 취약점들에 대한 책임을 가지고 해당 업체에 먼저 공개했고, 대부분의 공급업체가 보고된 취약점에 대해 신속하게 대응하고 처리했다”고 밝혔으며, “그러나 도로보, 버팔로, 자이온컴(토토링크)등은 문의에 응답하지 않았고 취약점을 인정하지 않았다”고 전했다.
Tag
#NAS
#SOHO
#ISE
#나스
#소호
#라우터
#임베디드
#특수목적
#컴퓨팅
#아수스
#시놀로지
#넥시어
#테라마스터
#도로보
#자이젤
#아수스토어
#씨게이트
#큐냅
#샤오미
#레노보
#토토링크
#자이온컴
#클라우드
#네트워크
#해킹
#해커
#취약점
저작권자 © CCTV뉴스 무단전재 및 재배포 금지