화웨이 제품에서 더 많은 문제들이 발견됐다.
IoT 전문 업체인 파이나이트 스테이트(Finite State)는 최근 화웨이에서 나온 558개 제품에 설치된 1만여 개 펌웨어 이미지들 내에 임베드 된
파일 150만 개를 조사해 여러 가지 취약점들을 찾아냈다고 발표했다. 제로데이 취약점들도 있었다.
본문
| ID | 구분 | 제목 | 게시판 | 글쓴이 | 추천 | 조회 | 날짜 |
|---|---|---|---|---|---|---|---|
| 118 | 전체공지 | 업데이트 내역 / 버튜버 방송 일정 | 8[RULIWEB] | 2023.08.08 | |||
| 2302312 | 정보 | PC 게임 정보 | ComShepard | 4 | 22:37 | ||
| 2302311 | 정보 | PC 게임 정보 | ComShepard | 1 | 104 | 22:33 | |
| 2302310 | ETC | PC 정보 | 빡통이 | 1 | 689 | 22:20 | |
| 2302309 | ETC | PC 정보 | 빡통이 | 625 | 22:16 | ||
| 2302308 | e스포츠 | PC 게임 정보 | 롭스 | 122 | 21:53 | ||
| 2302306 | S/W | PC 정보 | 사쿠라모리 카오리P | 386 | 21:20 | ||
| 2302305 | 정보 | PC 게임 정보 | ComShepard | 6 | 3672 | 20:07 | |
| 2302303 | 정보 | PC 게임 정보 | 헤롱싀 | 6 | 1862 | 19:55 | |
| 2302302 | 디아 | PC 게임 정보 | Naeri | 8 | 5190 | 19:42 | |
| 2302301 | 정보 | PC 게임 정보 | Foolishcrow | 1 | 1156 | 19:27 | |
| 2302300 | WOW | PC 게임 정보 | Naeri | 1 | 621 | 19:25 | |
| 2302299 | WOW | PC 게임 정보 | Naeri | 1 | 423 | 19:25 | |
| 2302298 | 정보 | PC 게임 정보 | nokcha | 5 | 1413 | 19:21 | |
| 2302297 | WOW | PC 게임 정보 | Naeri | 3 | 827 | 19:15 | |
| 2302296 | e스포츠 | PC 게임 정보 | 꿈고리 | 2 | 170 | 18:52 | |
| 2302295 | S/W | PC 정보 | 사쿠라모리 카오리P | 923 | 18:40 | ||
| 2302294 | 참고 | PC 정보 | 건전한 우익 | 849 | 18:36 | ||
| 2302293 | S/W | PC 정보 | 사쿠라모리 카오리P | 264 | 18:18 | ||
| 2302292 | H/W | PC 정보 | 헤드샷21 | 1045 | 18:15 | ||
| 2302291 | LOL | PC 게임 정보 | 롭스 | 2 | 436 | 17:59 | |
| 2302290 | S/W | PC 정보 | 사쿠라모리 카오리P | 1290 | 17:58 | ||
| 2302289 | H/W | PC 정보 | 사쿠라모리 카오리P | 1 | 1327 | 17:57 | |
| 2302288 | 정보 | PC 게임 정보 | 로메오카이 | 2 | 983 | 16:39 | |
| 2302287 | 정보 | PC 게임 정보 | 하지만구 | 3 | 3365 | 16:12 | |
| 2302286 | 인디게임 | PC 게임 정보 | MilkEmpire | 12 | 1939 | 16:08 | |
| 2302285 | 정보 | PC 게임 정보 | 헤드샷21 | 3 | 1322 | 14:06 | |
| 2302284 | 정보 | PC 게임 정보 | 사쿠라모리 카오리P | 7 | 17430 | 13:00 | |
| 2302283 | 스타 | PC 게임 정보 | @Crash@ | 11 | 2792 | 12:44 | |
(IP보기클릭)116.127.***.***
취약점은 뭐다? 백도어
(IP보기클릭)118.40.***.***
존나 무서운곳 인가 보네
(IP보기클릭)59.8.***.***
1번은 펌웨어내에 기본으로 깔아둔 '로그인ID/비밀번호'가 있다는 소리입니다. 쉽게 비유해서 윈도우10에 'ADMIN/ADMIN'이라고 쳐도 무조건 로그인이 되도록 만들었다는 소리입니다. 2번은 SSH라는게 네트워크를 통해 원격으로 로그인 및 관리/사용이 가능하도록 하는 통신프로토콜 혹은 그걸 사용하는 프로그램인데, 이때도 비밀번호및 로그인ID가 필수적입니다. 이게 털리면 그냥 네트워크상으로 기기를 맘대로 이용이 가능합니다. 그런데 화웨이 장비중에 그냥 기본적으로 1번내용처럼 'ADMIN/ADMIN'이라고 쳐도 무조건 허용되도록 만들어져있다는 말인겁니다. 그러니까 제조사측에서 맘만먹으면 인터넷등으로 연결되어있는 기기를 맘대로 이 루트를 통해 제어할 수 있다는 말입니다. 3번은 2번에서 언급한 SSH가 사용될때 만들어지는 키값으로, 서로 암호화되어서 상대방을 인식하기 위해 특정기기 2개에 대해 1:1로 매칭되어 사용되기 위한 키입니다. 그런데 이 키가 제조될때부터 내장이 되어있다는 소리죠. 4번도 3번과 대동소이한 내용입니다.
(IP보기클릭)119.196.***.***
좌표를 눌러보니 보안뉴스조차도 문제 있다고 나오는데....쩝...........
(IP보기클릭)1.225.***.***
취약점이 아니라 일부러 만든 구멍
(IP보기클릭)116.127.***.***
취약점은 뭐다? 백도어
(IP보기클릭)119.196.***.***
좌표를 눌러보니 보안뉴스조차도 문제 있다고 나오는데....쩝...........
(IP보기클릭)14.43.***.***
(IP보기클릭)1.225.***.***
취약점이 아니라 일부러 만든 구멍
(IP보기클릭)118.40.***.***
존나 무서운곳 인가 보네
(IP보기클릭)117.111.***.***
사설 SSL쓰면 저거뜰걸요 | 19.06.28 10:00 | | |
(IP보기클릭)121.134.***.***
(IP보기클릭)59.8.***.***
skymoon
1번은 펌웨어내에 기본으로 깔아둔 '로그인ID/비밀번호'가 있다는 소리입니다. 쉽게 비유해서 윈도우10에 'ADMIN/ADMIN'이라고 쳐도 무조건 로그인이 되도록 만들었다는 소리입니다. 2번은 SSH라는게 네트워크를 통해 원격으로 로그인 및 관리/사용이 가능하도록 하는 통신프로토콜 혹은 그걸 사용하는 프로그램인데, 이때도 비밀번호및 로그인ID가 필수적입니다. 이게 털리면 그냥 네트워크상으로 기기를 맘대로 이용이 가능합니다. 그런데 화웨이 장비중에 그냥 기본적으로 1번내용처럼 'ADMIN/ADMIN'이라고 쳐도 무조건 허용되도록 만들어져있다는 말인겁니다. 그러니까 제조사측에서 맘만먹으면 인터넷등으로 연결되어있는 기기를 맘대로 이 루트를 통해 제어할 수 있다는 말입니다. 3번은 2번에서 언급한 SSH가 사용될때 만들어지는 키값으로, 서로 암호화되어서 상대방을 인식하기 위해 특정기기 2개에 대해 1:1로 매칭되어 사용되기 위한 키입니다. 그런데 이 키가 제조될때부터 내장이 되어있다는 소리죠. 4번도 3번과 대동소이한 내용입니다. | 19.06.27 21:41 | | |
(IP보기클릭)68.147.***.***
(IP보기클릭)115.136.***.***
제품을 빨리 출시하려고 급 마무리한게 아닙니다. 의도적인 백도어 심어 놓고 언제든지 정보 강탈할 수 있도록 기본 탑제 시켜 놓은 겁니다. | 19.06.29 22:42 | | |
(IP보기클릭)68.147.***.***
확실히 그런것도 있는데, 너무 쉽게 걸리는 방법 (디폴트 사용자 저장) 같은 경우 테스트후 마무리를 발로 해놓으면 자주 나타나는 현상이거든요, 암호화키 저장도 너무 걸리기 쉬운 사항이기도 하구요. 저걸 백도어로 쓴거라면 좀 실망스럽달까요 (...) 뭔가 다른것이 있을 것 같은데... | 19.06.30 16:34 | | |