이러한 공격법은 라우터의 DNS 서버 레코드등을 바꿔서 phising등의 공격에 이용될 가능성이 많다고 한다.
UPNP는 “Universal Plug and Play"의 줄임말로서 주로 가전용 네트워크 장비들끼리 서로 원활한 네트워킹을 위해 만들어진 프로토콜이다. 이 프로토콜이 처음 나왔던 90년대 후반만 해도 과연 이런 것을 어디에나 쓸까 하는 생각이 들었었다. 하지만 일반 가정집에 있는 네트워크에 물린 장비를 세어 보아라. PC는 몰론 XBOX나 PS3,Wii와 같이 게임기들과 함께 iPod Touch나 프린터들도 요즈음에는 유선이나 무선랜에 물리는 경우가 많다.
여러 가전 기기 중에서도 특히 XBOX와 같은 게임기들의 경우 원활한 포트 사용을 위해서 UPNP를 통해서 라우터의 포트 포워딩 세팅등을 바꾼다고 한다. 게임을 제대로 즐기기 위해서 많은 경우 라우터 UPNP을 풀어 놓을 것을 권고하는 경우가 많다고 한다. 그렇지 않을 경우 일일이 라우터에 접속하여 포트포워딩 세팅을 수동으로 해주어야 하는 번거러움이 따른다.
문제는 UPNP의 프로토콜이 거의 HTTP와 동일하다는 것이다. 단지 Content-Type 등을 “application/xml”로 바꿔주고, POST 메쏘드를 사용하기만 하면 그만이다.
Hacking The Interwebs의 원문서에는 공격 기법이 비교적 상세히 기술되어 있고, 사용하는 샘플 Flash공격 코드까지 올라와 았다. 공개된 공격코드는 단지 외부에서 내부로의 포트 포워딩을 열어주는 수준이지만, 앞에서 말한대로 주 DNS 서버를 해커의 것으로 바꿔 버리면 그야말로 사용자의 모든 트래픽을 감시하고 통제하는 것이 가능하고, 궁극적으로 phising공격에 악용될 소지가 많다.
원문서에 따르면 90% 이상의 가정용 라우터들이 취약하다고 한다. 현재 알려진 단 하나의 해결 방법은 라우터의 UPNP세팅을 비활성화 시키는 것이다. 시간이 나고 UPNP를 사용하지 않는다면 오늘 당장이라도 UPNP를 비활성화 시킬 것을 권한다.
익스플로잇 제공 사이트로 유명한 milw0rm.com에 애플사의 퀵타임 플레이어의 버그에 대한 익스플로잇이 4개나 올라 갔다. 모두 같은 문제점을 이용하는 것으로 RTSP 프로토콜의 Content-Type 필드의 스택 오버플로우 취약점이다. 이는 아주 초보적인 실수로서, 익스플로잇의 성공율은 굉장히 높은 것으로 확인되었다.
비스타에서도 해당 취약점이 작동하므로 주의를 기울여야 한다. 비스타의 개선된 보안성에도 불구하고, 해당 배포 패키지들에는 해당 기술들이 전혀 사용되지 않았으므로 쉽게 익스플로잇이 되는 것으로 보인다.
이미 4개 이상의 퍼블릭한 익스플로잇이 나와 있으므로 이를 이용한 말웨어도 이미 존재할 것으로 예측된다.
공격의 원리는 간단하다. DNS 패킷의 경우 UDP를 주로 사용하게 되는데, 시퀀스 넘버등을 사용하지 않음으로 인해서UDP는 TCP에 비해서 스푸핑에 취약하다는 맹점이 있다. DNS의 경우 각 쿼리 패킷에 트랜잭션 아이디(Transaction ID)를 부여하여 패킷을 전송하고 응답 패킷에서 해당 트랜잭션 아이디가 그대로 되돌아 왔는지 확인하는 방법으로 스푸핑을 방지하고 있다. 하지만, 윈도우즈 계열의 DNS 서버에서는 이 트랜잭션 아이디가 추측이 가능하다는 데에 문제가 발생한다.
트랜잭션 아이디는 아래와 같이 16비트의 값으로서, M은 순수하게 랜덤한 값이지만 C와 L에는 어떠한 규칙성이 존재한다.
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
0
0
M=pseudo random data
C=n%256
L
n 변수는 패킷이 하나 나갈 때마다 1씩 증가하게 되므로 C를 추측하는 것은 간단하다. L의 경우는 다음과 같은 공식으로 통해서 계산된다고 한다.
L=(T[C mod 8][n mod 7]+(C mod 8)·t) mod 8
여기에서 우리가 모르는 변수는 t로서 시간과 관련된 변수이다. 하지만 이 공식의 문제는 C mod 8이 0이 될 때에는 L의 값이 항상 0가 된다는 것이다. C는 추측이 가능하므로 8패킷에 하나마다 C와 L을 확실하게 알 수 있는 경우가 생긴다. 이 경우 단지 3비트의 M 값만 맞추면 트랜잭션 아이디를 맞출 수 있게 된다. 3비트는 8개의 경우의 수를 만들므로 8개의 가짜 응답을 보내면 그 중에 하나는 맞게 된다.
Windows Server 2003 and Windows XP with Internet Explorer 7 installed
Adobe 제품군 뿐만 아니라 Firefox,Outlook,Outlook Express,Netscape 웹브라우저,Skype까지 이 공격에 취약하다고 한다. 근본적인 문제는 IE7에 있고, 그 ShellExecute 컴포넌트를 이용하는 모든 프로그램이 취약하다고 볼 수 있다.
미국 현지 시간으로 10월 23일Full Disclosure에서 돌아 다니는 exploit의 command line이 공개 되었다. 익스플로잇은 특정 사이트의 ftp 사이트에 접속하여 ldr.exe라는 바이너리를 다운로드 하여 실행 시키는 역할을 한다.
CowonJetAudioBugFix.reg
