gSOAP 라이브러리 원격 코드 실행 취약점 보안 업데이트 권고

 뉴딜코리아 홈페이지
 

gSOAP 라이브러리 원격 코드 실행 취약점 보안 업데이트 권고
(악마의 아이비 : 널리 사용되는 제 3 자 코드의 결함이 수백만에 영향)

□ 개요

○ Axis 보안 카메라 (모델:M3004 등 249 개 카메라 모델)에서 스택 버퍼 오버플로 취약점 (CVE-2017-9765)을 발견했습니다.  (이 취약점을 "Devil 's Ivy"로 명명하였습니다)

○ Devil 's Ivy는 원격 코드 실행을 유발하며 "gSOAP(Simple Object Access Protocol)"의 오픈 소스 써드 파티 코드 라이브러리에서 발견되었습니다.

○ gSOAP는 널리 사용되는 웹 서비스 툴킷이며 전 세계의 개발자가 소프트웨어 스택의 일부로 gSOAP를 사용합니다.

※ gSOAP : SOAP/XML 웹 서비스 및 일반 XML 데이터 처리를 위한 C/C++ 소프트웨어 개발 툴킷으로, 가볍고 이식성이 높아 IP 카메라 등 IoT 기기에 사용됨


□ 내용
○ gSOAP 라이브러리 내 soap_get() 함수에서 정수 오버플로우가 발생하여 임의 코드 실행을 가능하게 하는 취약점 (CVE-2017-9765)

○ 제품(서비스)을 지원하기 위해 gSOAP에 의존하는 소프트웨어 또는 장치 제조업체는 Devil 's Ivy의 영향을 받을 수 있어, 악용(exploited) 될 수있는 범위는 현재로서는 결정할 수 없습니다.

 o 수백만 번 다운로드 된 타사 툴킷의 개발로 수천 개의 장치로 확산되어 완전히 제거하기 어렵다.
 o 오픈 소스 써드 파티 툴킷 인 gSOAP (Simple Object Access Protocol)의 통신 레이어 깊숙히 자리 잡고 있습니다.
 o 따라서 Devil 's Ivy는 소프트웨어 제품과 연결된 장치의 수천만 개가 어느 정도 영향을받을 가능성이 큽니다.

○ 이 취약점을 악용(exploited)하면 공격자가 비디오 피드에 원격으로 액세스하거나 피드에 대한 소유자 액세스를 거부 할 수 있습니다.

○ Axis M3004 보안 카메라에서 Devil 's Ivy 데모 영상
   (http://blog.senr.io/devilsivy.html)


□ 영향을 받는 버전
 ○ Genivia gSOAP 2.8.48 미만 버전


□ 해결 방안
 ○ 취약한 버전을 사용 중인 개발 담당자는 서비스 거부 공격, 악성코드 감염 등의 위험이 있으므로 취약점에 영향을 받지 않는 버전으로 업데이트 수행

    - Axis는 패치 된 펌웨어를 발표하고 파트너 및 고객에게 업그레이드를 권고하고 있습니다

   - Genivia gSOAP 2.8.48 이상 버전 [2]
 
  ※ 최신 버전은 Genivia gSOAP 2.8.50 버전
   o  https://www.genivia.com/downloads.html
   o  https://www.genivia.com/advisory.html#Security_advisory:_CVE-2017-9765_bug_in_certain_versions_of_gSOAP_2.7_up_to_2.8.47_%28June_21,_2017%29

  
□ 권고사항

1) 물리적 보안 장치(보안 카메라, CCTV, 웹캠 등)를 공용 인터넷에 두지 마십시오.
  . 2017년 7월 1일 현재 쇼단 (Shodan)을 검색 한 결과 14,700 개가 넘는 Axis 돔 카메라가 전 세계 누구에게나 공개적으로 액세스 할 수 있다고합니다.
  . Devil 's Ivy에 취약한 모든 카메라는 잠재적으로 악용 될 수 있습니다.
  . 보안 카메라와 같은 장치는 사설 네트워크에 연결해야 악용 하기가 훨씬 어려워집니다.

2) 가능한 한 IoT 장치를 보호 하십시오.
 . IoT 장치 앞에 NAT (Network Address Translation), 방화벽이나 기타 방어 메커니즘을 배치하거나 사용할 수있는 경우 노출을 줄이고 위협 요소를 탐지 할 가능성을 높일 수 있습니다.

3) IoT 장치 패치
 . Windows 10 처럼 기본 OS가 익숙한 경우 라하더라도 IoT 장치 패치는 항상 가능하지는 않습니다.
 . 제조업체가 패치를 릴리스 할 때 가능한 한 빨리 장치를 업데이트하십시오.
 . 패치가 어려운 경우 취약한 장치와 외부 인터넷 사이에 다른 보안 계층을 배치하십시오.


□ 기타 문의사항
o 뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 결론

☞ 뉴딜코리아 조사에 따르면 보안 카메라의 취약점을 연구하는 동안 Devil 's Ivy가 발견되었지만,  광범위한 IoT 장치에도 비슷한 문제가 있다는 것을 확인하였습니다.

☞ 네트워크에 내장 된 임베디드 장치 (IOT)가 널리 보급되면 공격에 대항하는 탄력성을 확보하는 것이 중요합니다.

뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)