단순번역분이나 오타 및 오번역 좀 많습니다.. 보이는데로 수정중입니다..

 

 

 

 

 

 

소니 네트워크 통신 ISP 서비스 NURO光 에서 대여하는 네트워크 장비에 대한 NURO光 모뎀안 관리용으로 쓰는 특수한 계정과 암호를 식별했습니다. 이 계정을 이용하면 일반적인 사용자가 쓸일 없는 ROOt 권한에 통한 명령 제어 실행 도 가능합니다..

 

 

해당기종은  GitHub - meh301 / HG8045Q : Pwning the Nuro issued Huawei HG8045Q  

https://github.com/meh301/HG8045Q/

 

 

목차

 

1. HG8045Q   취약점을 지적했어요

2. 그 취약점을 검증해보았어요

3. 근데 또 취약점이 또 있어요

4. 취약점 보고후  NURO光 대응 

 

 

 

 

1. HG8045Q   취약점을 지적했어요

 

 

 

보안연구원 Alex Orsholits 씨에 의해 보고된 이번 취약점은 통신 네트워크의 종단에 설치하는 광 회선 종단장치 (ONU -흔히 말하는 kt 광모뎀 같은거..) 관한 이야기 입니다. NURO光 사의 ONU에는 몇 가지 종류가 있지만 이번 취약점은 화웨이 HG8045Q  에서만 보고되었습니다. Orsholits씨는 자신의 HG8045Q 리버스엔지니어링 한 결과 HG8045Q의 "웹 관리 페이지" 에 존제하는 특수한 계정을 발견을 했다는것입니다..

 

HG8045Q 웹관리 페이지 에서는 다양한 설정을 할 수있으며 일반적으로 "admin" (만국공통) 사용자 이름과 스스로 설정한 암호를 사용 관리자 로그인 합니다.

 

웹 관리 화면에는 ONU의 일런번호 와 펌웨어 버전등 정보를 확인 가능하고 

 

 

재부팅등 가능을 할수 있습니다. 그러나 이 관리화면에서 "숨겨진 기능이 " 존재하고 있으며 그 기능은 NURO光 이 소유한 "관리자계정" 로그인 하면 활성화 됩니다. Orsholits씨는 HG8045Q 분석하고 관리자 계정의 id와 암호를 확인하는 방법도 공개하고 있습니다

 

 

 

 

2. 그 취약점을 검증해보았어요

 

편집부에서는 NURO光 사와 계약하고 HG8045Q을 NURO光으로부터 대여받았습니다. 취약점이 있는지 불안해졌기 때문에 실제로 취약점을 이용하여 관리자 제어판에 직접 액세스 해보았습니다. Orsholits 분석에 따르면, 관리자 계정의 사용자 ID는 "admin_iksyomuac13" 암호는  "iksyomuac13_admin_XXXX"  여기서 "XXXX" 는 PON 맥주소 "YYYYYYYXXXX-YY (YY)"의 " XXXX "로 대체 한것이라고 합니다.

 

 

 

 

 

실제로 관리자 계정을 사용하여 관리화면 접속하면...

 

 

 

일반 어드민 계정에서는 죽어도 확인못했던 "cpu 점유율" 및 "RAM 점유율" 그리고 HG8045Q 이 어떤 공급업체에게 사전 정의 되어 있는지 나타내는 "사용자 정보" 등도 확인가능한 화면이 표시되었습니다

 

 

 

 

제일 하단 "초기화 비밀번호는 관리자가 사용합니다. 이암호를 변경해야 하는경우에는 통신 사업자에게 문의하십시오. 비밀번호 변경에 대한 자세한 내용은 http : //support.huawei .com 의 보안관리 참조 하십시오. 라는 빨간색 글씨가 있습니다..

 

 

 

http : //support.huawei .com 실제로 접속하면 화웨이 엔터프라이즈 지원 페이지가 표시되었습니다.

 

 

 

숨겨진 관리자 계정으로 로그인 하면 일반 계정에는 안되었던 다양한 기능을 사용할 수 있게 되었습니다. 예를 들어 LAN 포트 를 WAN 포트로 전환 가능한 WAN 항목

 

 

라우팅 테이블 주작이나..

 

 

 

 

장치 제어 항목도 추가되었네요

 

 

 

 

 

 

 

 

다음은 관리자 계정으로 추가로 표시되는 기능입니다.

 

상태

 

 "WAN 정보"  IPv6 주소, VLAN 우선 순위의 표시 (히든메뉴)
· 스마트 WiFi 범위 "항목 (히든메뉴)
·장치 정보 " ONT ID, CPU 사용률, 메모리 사용률, 사용자 정보 표시  (히든메뉴)
· 원격 관리(히든메뉴) : 원격 접속 및 서비스 제공의 상태 (히든메뉴)
·서비스 프로비저닝 상태 (히든메뉴)  : ONT 및 ONU의 연결 상태 등을 확인 가능

 

 

WAN (히든메뉴)

 

 "WAN 설정" : LAN 포트 하나를 WAN 포트로 바꿀수 있습니다.
 "DHCP 클라이언트 옵션 설정"
 "DHCP 클라이언트 목록 리스트 매개 변수

 

LAN

 

LAN 포트 작동 방법 (히든메뉴) :  WAN 설정 에서 사용하는 포트의 선택
LAN 호스트 설정 ": 보조 주소 설정 추가
DHCP 서버 설정 ": DHCP 릴레이, Option125 보조 DHCP 서버 활성화 설정을 가능하게
DHCP 서버 옵션 설정 (히든메뉴) : LAN 쪽의 DHCP 서버 옵션을 설정 가능

 

IPv6

"기본 라우팅 설정 " (히든메뉴)
"정적 라우팅 설정 " (히든메뉴)
"LAN 주소 설정": 인터페이스의 주소 정보 IPv6 주소의 인터페이스 ID를 변경 가능

 

WLAN

 

· 2.4G 자세한 네트워크 설정 : 규제 지역을 서조선 이외의 국가로 변경 가능
·5G 자세한 네트워크 설정  : 규제 지역을 서조선 이외의 국가로 변경 가능
· WiFi 자동 끄기 의 활성화 : WiFi 기능을 사용하지 않는 동안 자동으로 중지하도록 설정할 수 있음
· 스마트 WiFi 커버리지 관리: Wi-Fi 네트워크의 SSID를 지정가능 주기적으로 wifi 스캔하여 외부 AP 통해 접속 가능하도록 추가 할수 있습니다 또한 외부 AP 간섭에 대비해 좀더 원활하게 네트워크 동작가능하도록 조정

 

 

보안

 

·방화벽 수준 설정 (히든메뉴)  없음 낮음 보통 높음 사용자지정 선택가능 
·장치 액세스 제어 '활성화 : LAN, WAN 무선 통신 각각의 네트워크에서 FTP, HTTP, telnet 액세스를 제어, WAN 측 원본 주소 설정이 가능
WAN 액세스 제어 설정 : (히든메뉴) : 하나의 WAN 포트에서 HTTP 모드, telnet, FTP, SSH 원본 주소의 권한 설정이 가능

 

 

 

 루트 (히든메뉴)
· 기본 라우팅 설정 ": 기본 라우팅 경로 설정 가능
· 정적 라우팅 설정 "도메인 이름, IP 주소, 서브넷 마스크, 게이트웨이 IP 주소, WAN 포트 이름 등 라우팅 경로 설정이 가능
· "정책기반 라우팅": 정책기반 라우팅 설정 가능
· "VLAN 바인딩 설정
· 서비스 라우팅 설정": 서비스 라우팅 설정 가능
· "라우팅 테이블": 목적지 IP 주소, 목적지 서브넷 마스크, 게이트웨이, 출력 인터페이스 등 현재의 라우팅 정보를 조회 할 수

 

 네트워크 응용
· "포털 설정"항목 추가 : 처음 인터넷에 액세스 할 때 표시 할 웹 사이트를 설정 가능
· "DDNS 설정 '항목 추가 : dyndns와 NO- IP 등 DDNS를 설정 가능
· "IGMP 설정"항목의 추가
· "지능형 채널 설정"항목의 추가
· "단말기 제한 설정"항목 추가 : 인터넷에 연결하는 단말기 수를 제한 가능
· "ARP Ping"항목 추가
· "ARP 에이징 '항목 추가 : ARP 수명 시간을 설정 가능

 

시스템 도구
-"설정 파일 "항목 추가 : 설정 파일의 저장 및 다운로드, 업데이트가 가능
·"펌웨어 업그레이드 "항목 추가 : 펌웨어 파일을 지정하여 펌웨어를 업데이트 가능
· '보수': Ping 테스트 DSCP 값 변경, 하드웨어 장애 감지 기능의 추가
· "원격 미러링"항목 추가 : CPU로 전송 된 패킷 미러링이 가능
· "ONT 인증" 항목 추가 : OLT가 ONT를 인증하는 데 필요한 매개 변수를 변경 가능
· "시간 설정"항목 추가 : DST를 사용하는 항목의 추가
· 「TR-069 '항목 추가 : 공급자가 사용자의 기기를 원격으로 조작 할 때 사용하는 프로토콜 TR-069 에 대한 설정이 가능
· "확장 전력 관리 '항목 추가 : 절전 모드로 전환 할 수
*"로그인 암호 변경 "인증서 인증 기능의 추가
·"지능형 채널 통계'항목 추가 : 지능형 채널 트래픽 통계 수집 및 쿼리 통계를 이용 가능
· 장애 정보 수집 "항목 추가 : 장애 정보의 수집 및 다운로드가 가능

 

 

 

3. 근데 또 취약점이 또 있어요

 

위에 관리자 계정을 통해 LAN 통해 HG8045Q 에 SSH 연결 할수 있습니다 SSH 로그인시 WAP 라는 쉘이 표시됩니다

 

 

이 WAP는 화웨이 제품 네트워크 기기에서 사용할수 있는 명령어에 "?" 추가하면 사용방법을 볼 수 있습니다

 

 

 

 

 

 

예를 들변 "ping?" 실행하면 ping 명령어 사용방법이 출력됩니다

 

 

일반적으로 ping 명령에서 사용 방법표시하는 "ping -h"  실행하면 "ping : invalid option - h"  출력되는게 아닌 잘못된 인수 붙여놔도 BusyBox 에서 ping 명령의 사용방법을 응답했습니다 이로서 WAP 에서 쓸수 있는 방법은 화웨이가 독자적으로 구현한 명령도 있고 쉘 스크립트 에서 BusyBox 사용하는 명령도 있는거라고 추측할수도 있습니다.

 

 

 

 

BusyBox 를 호출하는 쉘 스크립트 조사하던중 또 다르고 새로운 취약점이 발견되었습니다. 취약점을 재현하는 방법으로는 우선 쉘 스크립트 에서 BusyBox 를 사용하는 명령후 입력이 받아드릴때까지 문자열을 입력합니다 그리고 엔터키 눌러 명령을 실행합니다.

 

 

명령 실행후 어떠한 오류등은 나타나지 않고 대기 상테가 되어 " 키 입력

 

 

그후 " > | " 입력 합니다 그러면 일반적인 WAP 에서 사용할수 없는 사용자 표시명령 "whoami" 실행했습니다

 

 

 

 

그러자 "admin_iksyomuac13" 계정으로 로그인 했음에도 불구하고 root 권한으로 명령을 실행할수 있게 되었습니다.

 

 

 

 

일단 간단하게 cpu 확인 가는 명령 "cat / proc / cpuinfo" 명령등이 WAP 쉘에서는 얻을수 없는 정보도 BusyBox이 충실하게 구현되어 있으면 결과값을 알수 있습니다.

 

 

 

WAP 에서 사용가능한 명령이 모두 취약점은 가지고 있는게 아니라서 화웨이가 자신이 구현하는 명령은 인수의 문자수 제한이 이루어지고 있을을 알게 되었습니다..

 

 

 

 

 

HG8045Q 는 WAN 포트에는 SSH 가 기본적으 막혀 있어 SSH 이용한 WAN 해킹은 어렵습니다. 그러나 MAC 주소만 알면 SSH 연결에 필효안 관리자 계정 암호를 알수 있고 mac 주소는 본체 외부에 기재되어 있기 때문에 물리적 액세스 가능하면 root 권한에 의한 명령 실행이 언제든지 가능한 상태입니다..

 

4. 취약점 보고후  NURO光 대응 

 

특정 관리자 계정의 특정은 깃허브에 공개되어 있습니다만 root 권한에 의한 명령 실행 취약점은 어디에도 공개되지 않아 NURO光 취약점을 보고해야만 했습니다. 우선 버그 포상금 플랫폼 HackerOne 을 확인했지만 NURO光 는 참여하지 않고 있습니다.

 

하드웨어 벤더 화웨이 페이지는 찾았지만  psirt@huawei.com 앞으로 이메일 보내달라고 하지 HackerOne 통한 교환은 불가능했습니다

 

 

 

일반적으로 버그 보고상황 HackerOne 의 Hacktivity 보고 목록의  Thanks 페이지는 존재하나 화웨이 페이지는 Policy" 만 존재하는 수수깨끼 상태 취약점 보고를 해도 지원을 받을 수 있는지 확신이 서지 않기 떄문에 HackerOne 통해 취약점보고는 포기하기로 결정했습니다.

 

 

 

다음단계로 NURO光 홈페이지에서 버그를 보고 할수 있는 창구가 있는지 찾아보았습니다만 버그보고 받을수 있는곳은 전혀 없습니다. 포기하지 않고 더 찾아보니 기술센터 발견했습니다.

 

 

 

 

 

이 치명적인 버그가 기술적인 질문에 해당하는지는 불분명하나 기술 센터 외에 버그 보고할수있는 창구 가 없기 때문에 기술센터에 전화로 취약점 보고 했습니다

 

 

 

질문에서 최종답변까지 타임라인.

 

 

2020 년 9 월 28 일 : "관리자 계정의 특정 에 기술 센터를 통해 NURO 光 에게 보고 -나중에 대답합니다 답변받음
2020 년 10 월 6 일 :"관리자 계정의 특정 "및" root 권한 탈취 "에 대한 지원 데스크에 이메일로보고 - 당사 담당자에게 알려 드리겠습니다. 응답

2020 년 10 월 27 일 : NURO光에 다시 연락하면 보안취약점 안건이 방치되어 있었다고 밝혀, 1 주일 이내에 답변 해달라고 요청
2020 년 10 월 28 일 : NURO光에 메일로 취약점 정보를 추가로보고
2020 년 11 월 5 일 : NURO光에 전화를 걸었으나  콜센터 책임자는 "취약점 를 지원한다(脆弱性を対応する) "고 응답
2020 년 11 월 9 일 : NURO光 에서 다시 전화  11 월 5 일 같은 책임에서"NURO 측에서 공식적으로 해당 "취약점은 수정하지 않는다 '는 답변 "고 응답

 

 

약 2주후 NURO 光 에서 얻은 최종답변

 

특정된 계정은 NURO 光 관리자 계정은 맞긴 맞는데 즉시 외부에서 접근할수 있는게 아니라서 수정하지 않음

관리자 계정 사용하여 문제 생겨도 NURO 光 에서는 일정 지원해줄수 없음

취약점 공개는 가능하면 삼가해주시면 좋겟지만 금지하는건 아니다.

2020년 10월 19일 발표한 펌웨어 업데이트에서 도 취약점 수정없음

 

....결론적으론 NURO 光 에서는 이번 취약점은 " 일체 관여하지 않는다" 자세입니다

 

 

2020년 10월 19일에 업데이트 통해서도 이번 취약점은 지원받는게 어려운거 같습니다 페이스북 버그 포상금 프로그램 운영하고 10주년 맞는 구글이나 애플등 주요 it 기업도 비슷한 프로그램 운영중입니다. NURO 光 모회사인 소니도 버그 포상금 프로그램 참여하고 있는 상황 감안하면 NURO 光의 취약점의 대응이 눈에 뛰게 환장하고 있습니다.