2024-03-29 00:10 (금)
고어헤드의 IOT 서버 소프트웨어에서 취약점 발견돼
상태바
고어헤드의 IOT 서버 소프트웨어에서 취약점 발견돼
  • 유성희 기자
  • 승인 2018.03.09 15:24
이 기사를 공유합니다

1.jpg
▲출처=셔터스톡
최근 연구원들이 고어헤드 웹서버 소프트웨어 기반의 사물인터넷 취약점을 발견했다. 취약점은 CVE-2017-17562로 불리며 장치를 강탈하는 데 악용될 가능성이 있다.

이 결함으로 인해 해커들은 장치에 코드를 주입해 소유자를 감시할 수 있다. 취약점이 있는 소프트웨어는 리눅스 기반 라우터, 홈 보안 캠, 네트워크와 연결된 항목에서 발견됐다.

미국 시애틀에 본사를 두고 있는 고어헤드의 제조업체인 임베드디스 소프트웨어는 자사의 코드를 세계에서 가장 인기 있으며 가장 작은 임베디드 웹 서버라고 말했다.

이 취약점은 고어헤드의 3.6.5 버전이 브라우저에서 CGI의 요청으로 동적 웹페이지를 생성할 때 발생한다. HTTP 요청에서 CGI에 대해 임의의 환경변수가 설정되어 공격자가 악성 코드를 불러올 수 있다. CGI를 동적으로 연결할 수 있어야 사용할 수 있으므로 정적으로 연결된 바이너리 장치에서는 악성코드가 작동하지 않는다.

취약점은 API 기반 실행 파일을 사용하는 장치와 서버로 제한된다. “고어헤드 사용자들은 느리고 보안성이 떨어지는 CGI 사용을 지난 10년 동안 줄여왔다. 대부분의 사이트들이 이 방식을 사용하지 않기에 공격에 취약하지 않다”고 고어헤드의 대변인 엘 레이가 전했다. 그는 고어헤드가 작지만 빠르고 나은 대안을 갖고 있다고 말했다.

결함에 대해 고어헤드가 해결책을 제공할지는 앞으로 두고 봐야 할 것으로 보인다. 하지만 전문가들은 해킹 가능성을 피하기 위해 CGI 기반 플랫폼의 사용을 피하라고 권했다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★