울지않는벌새 : Security, Movie & Society

ipTIME 유무선 공유기 CSRF 취약점 보안 권고 (2013.2.25)

벌새::Security

EFM-Networks 업체에서 제공하는 ipTIME 유무선 공유기 전 제품에서 외부 공격자에 의한 악의적인 행위(수정, 삭제, 등록 등)를 할 수 있는 CSRF(Cross-Site Request Forgery) 취약점이 발견되었다는 소식입니다.

 

  <KISA 보안 공지> ipTIME 유무선 공유기 CSRF 취약점 주의 권고 (2013.2.25)

 

이에 따라 ipTIME 유무선 공유기를 사용하시는 사용자는 취약점 문제를 해결한 펌웨어(Firmware)가 나올 때까지 "관리자 로그인 암호 설정"을 통해 임시 조치를 하시기 바랍니다.

 

(1) "192.168.0.1" 주소로 접속하여 "관리 도구 → 고급 설정 → 시스템 관리 → 관리자 설정" 메뉴를 선택하시기 바랍니다.

(2) "관리자 설정""로그인 암호 설정"에서 계정 및 암호 설정이 이루어지지 않은 환경에서는 반드시 계정 및 암호를 지정하시기 바랍니다.

참고로 관리자 계정 암호 설정이 적용된 환경에서는 재로그인을 반드시 하셔야 합니다.

 

(3) 생성된 "Windows 보안" 창에서 관리자 계정(사용자 이름)과 암호를 입력하시면 "192.168.0.1" 주소에 접속할 수 있습니다.

해당 관리자 계정 및 암호 설정은 무선 네트워크의 보안 설정(암호화)과는 무관하므로 따로 설정을 하셔야 합니다.

해당 계정 설정으로 인해 외부 공격자는 취약점이 존재하는 ipTIME 유무선 공유기 환경에 접속시 반드시 인증을 거쳐야 하므로 임시적으로 안전하며, 차후 공식 펌웨어가 제공될 경우에는 반드시 최신 업데이트를 진행하시기 바랍니다.