VU#123336: 취약한 WiFi Alliance 예... 노트

VU#123336: 취약한 WiFi Alliance 예제 코드가 Arcadyan FMIMG51AX000J에서 발견되었습니다.

와이파이 테스트 스위트(Wi-Fi Test Suite)에서 명령어 주입 취약점이 발견되었습니다. 와이파이 테스트 스위트는 와이파이 얼라이언스(WiFi Alliance)에서 개발한 도구로, 아카디안(Arcadyan) 라우터에 배포된 것으로 밝혀졌습니다. 와이파이 테스트 스위트는 원래 인증 프로그램과 장치 인증을 지원하기 위해 개발되었지만, 생산 환경에서 사용하기 위한 것이 아닙니다. 그러나 상업용 라우터 배포에서 발견되었으며, 테스트 코드에 취약점을 노출시켰습니다. 이 취약점은 인증되지 않은 로컬 공격자가 특별히 제작된 패킷을 보내어 와이파이 테스트 스위트를 악용할 수 있도록 합니다. 이로 인해 루트 권한으로 임의의 명령을 실행할 수 있습니다. 공격자는 이 취약점을 악용하여 영향을 받는 장치에 대한 전체 관리 권한을 얻을 수 있습니다. 이 접근 권한을 통해 공격자는 시스템 설정을 수정하거나, 중요한 네트워크 서비스를 방해하거나, 장치를 완전히 초기화할 수 있습니다. CERT/CC는 제조업체가 와이파이 테스트 스위트를 버전 9.0 이상으로 업데이트하거나, 생산 장치에서 완전히 제거하여 악용 위험을 줄일 것을 권장합니다. 이 취약점은 CVE-2024-41992로 식별되었습니다. CERT/CC는 취약점을 발견한 SSD Disclosure의 Noam Rathaus에게 감사를 표합니다. 권장된 해결책은 서비스 중단, 네트워크 데이터의 노출 및 모든 사용자가 의존하는 네트워크의 서비스 손실을 방지하기 위한 것입니다.