다후아 IP 카메라에서 해커가 원격으로 카메라를 제어할 수 있는 보안 취약점(CVE-2022-30563)이 발견됐다.

이번 취약점은 노조미 네트웍스 연구팀에 의해 처음 발견했으며 CVSS 점수 7.4를 받았다.

해커는 이번 취약점을 통해 다후아 카메라의 ONVIF(Open Network Video Interface Forum) 구현을 조종할 수 있다. ONVIF는 IP 기반 물리적 보안 제품의 효과적인 상호 운용성을 위해 표준화된 인터페이스를 제공한다.

노조미 네트웍스는 "다후아가 개발한 일부 IP 카메라에서 발견된 취약점은 해커가 이전의 암호화되지 않은 ONVIF 상호 작용을 스니핑하고 카메라에 대한 새 요청에서 자격 증명을 재생해 네트워크 카메라를 손상시키는데 악용될 수 있다”라고 설명했다.

ONVIF 준수 제품을 사용하면 카메라 영상 보기, 스마트 도어 잠금 또는 잠금 해제, 유지 관리 작업 수행을 포함하여 표준화된 API(응용 프로그래밍 인터페이스) 세트를 통해 원격 장치에서 다양한 작업을 수행할 수 있다.

취약점은 다후아가 일부 IP 카메라에 구현한 WS-UsernameToken 인증 메커니즘에 있다. 응답 공격을 방지하기 위한 검사 과정이 없어 해커가 암호화되지 않은 ONVIF 상호 작용을 스니핑하고 카메라에 대한 새 요청에서 자격 증명을 얻을 수 있다.

자격 증명을 획득하면 공격자는 관리자 계정을 추가하고 이를 사용하여 장치에 대한 접근 권한을 얻어 카메라에서 라이브 영상을 보는 등 다양한 작업을 임의로 수행할 수 있다.

해커는 WS-UsernameToken 스키마로 인증된 암호화되지 않은 ONVIF 요청 하나를 캡처해 이 공격을 수행한다.

다음은 이번 취약점의 영향을 받는 다후아의 제품 목록이다.

다후아는 2022년 6월 28일 패치를 통해 취약점을 해결했다 .

노조미 네트웍스는 “건물 보안 외에도 CCTV는 석유 및 가스, 전력망, 통신 등과 같은 많은 중요한 인프라 부문에서 사용된다. 이 카메라는 많은 생산 공정을 감독하는 데 사용돼 공정 엔지니어에게 원격적인 가시성을 제공한다. 해커 조직은 대상 회사의 장비 또는 생산 프로세스에 대한 정보를 수집하기 위해 IP 카메라를 노리고 있다. 해커는 기업에 대한 많은 지식을 바탕으로 중요한 인프라의 생산 프로세스를 물리적으로 방해할 수 있는 맞춤형 공격을 만들 수 있어 주의가 필요하다”라고 강조했다.

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

곽중희 기자 다른기사 보기