모토로라 MR2600 라우터, 인증 없이 원격 코드 실행 가능한 RCE 취약점 발견
- 보안 연구자가 벤더별 RCE 취업을 목표로 조사하다 모토로라 MR2600 라우터의 마지막 펌웨어(v1.0.22, 2024년 중반 배포)를 분석해 인증 없는 원격 코드 실행(RCE) 취약점을 발견함
- 펌웨어 업로드 엔드포인트(
fwupload.cgi)가 멀티파트 폼 데이터 파싱 오류로 매직넘버(0x27 0x05 0x19 0x56) 검사를 우회당해, 인증 실패 시에도 이미/tmp/firmware.img에 파일이 써지고 삭제되지 않는 문제가 있음 LoadFirmwareValidationSOAP 요청으로 펌웨어를 검증 후mtd_write명령으로 플래시하는데, 이 과정에 암호화 서명 검증이 전혀 없어 누구나 임의 펌웨어를 만들어 플래시 가능함- 인증 필요 여부를 판단하는 함수가 허용목록은 부분 문자열 매칭, 차단목록은 완전 일치로 비교해,
/WEBCGI1/?Login.html같은 URL로 인증 우회가 가능함 - 해당 라우터는 사실 Zoom이 모토로라 브랜드를 라이선스해 만든 제품으로, 벤더 소유권이 애리스, 줌, 미님, e2컴퍼니즈로 여러 차례 이전돼 실질적 취약점 수정 책임자가 불명확함
Hacker News opinions
취약점 찾은 화이트햇들이 그냥 취약한 라우터들 직접 패치까지 해주면 어떨까 싶음, 42대밖에 안 되는데
차라리 브릭시켜서 강제로 최신 기기로 업그레이드하게 만드는 게 더 간단할듯
그거 무단 접근이라 불법인 건 마찬가지 아님? 남 몇십명 도와주려다 리스크 너무 큼, 패치가 다른 설정이랑 충돌나서 장애 나면 어쩔거임
그건 화이트햇이 아니라 그레이햇이라고 해야 함, 불법이긴 한데 과거에도 있었고 기소된 사례는 아직 없다고 알고 있음
그냥 OpenWRT 플래시해주면 되지 않나? 스크립트로 기본 설정까지 맞춰주면 됨
실제로 어떤 러시아어권 사람이 미크로틱 라우터 10만대 넘게 임의로 업데이트한 적 있음, 고맙다는 사람도 있었고 화낸 사람도 있었음
독일에는 '슈퇴러하프퉁'이라는 게 있어서 라우터 소유자가 라우터로 발생한 모든 일에 책임 짐, 근데 라우터가 원래 버그투성이인데 이걸로 법원에서 어떻게 되나 궁금함
이런 흔한 컨슈머 라우터에서 RCE 계속 터지는 거 보면 오히려 그게 목적 아닐까, 필요할 때 아무 가정이나 걸고넘어질 수 있게
그건 안 통할듯, 누가 내 라우터 해킹했다는 증거를 직접 대야 하는데 그게 쉽지 않음, 차 고장나서 사고나도 책임 안 지겠다는 거랑 같은 논리임
관할 법에 따라 다를듯, 펌웨어 최신으로 유지하고 관리 인터페이스 인터넷에 노출 안 시켰다는 걸 증명하면 과실 없다고 주장 가능할 수도 있음, 다만 포티넷같이 알려진 취약 벤더 쓴 건 예외일 수도
이건 원래 '모토로라'가 만든 게 아님, 사실 줌(Zoom) 라우터인데 모토로라 브랜드를 라이선스해서 쓴 거임, 원래 모토로라 홈 사업부는 2013년에 브랜드명 빼고 애리스에 팔렸고 브랜드명은 2016년에 줌으로 넘어감, 줌은 미님이랑 합병했다가 2023년 파산하고 2024년에 e2컴퍼니즈가 자산 인수함
zoom.com 도메인 쓰는 거 신기함, HTTP 평문 쓰는 거 보면 그냥 엔드포인트/호스트명 리다이렉션일 수도 있음, 'router/firmware/query.aspx' 검색해보면 D-Link 엔드포인트도 나오고 'wrpd' 서브도메인도 같이 씀
줌은 원래 오래된 모뎀 회사인데 케이블이랑 라우터로 사업 확장하면서 2016년에 모토로라 브랜드 라이선스한 거임