오픈 소스의 버그 'Devil's Ivy', 수백만 IoT 기기 위협

본문

PC 정보

[S/W] 오픈 소스의 버그 'Devil's Ivy', 수백만 IoT 기기 위협 [10]

ALIVEisANSWER (3132353)

활동내역 작성글 쪽지 마이피 타임라인

출석일수 : 1125일 | LV.41

Exp.47%

추천 4 | 조회 6881 | 댓글수 10

위의 영상은 오픈 소스 도구가 사용된 IoT기기 중 하나입니다. (영상이 안보일 경우 출처 참조)

위의 해킹과 같은 문제를 발생시키는 것은 많은 IoT 기기에 사용되는 gSOAP의 커뮤니케이션 레이어의 문제때문입니다.

gSOAP은 IBM, 마이크로소프트, 어도브, 제록스 같은 대형 회사에서도 사용할 정도로 널리 쓰이는 소프트웨어중의 하나이며,

gSOAP를 관리하는 Genvia 사는 이러한 오점이 발견되고 하루도 안돼 패치를 내놓았습니다.

이러한 보안 결함은 2002년부터 있었으며, 보안 결함은 두번 정수 오버플로우를 일으키면 발생하는 것입니다.

이를 위해 2GB의 XML 데이터를 업로드하면 됩니다.

중요한 점은 대부분의 회사들이 이러한 오픈 소스 소프트웨어를 직접 작성한 것이 아니지만

주기적으로 자사에서 제조한 하드웨어와 결합시킨다는 것입니다.

코드가 있었던 연도와 오픈 소스 사용처가 넓다는 측면에서 작년에 발생했던 미라이 봇넷과 같은 사태가 벌어질 수 있습니다.

트렌드 마이크로의 제로 데이 이니셔티브는 잘못 알거나 거의 알지 못하는 채로 오픈 소스를 사용할 경우

공격자들에게 보안체계를 우회할 수 있는 경로를 제공하는 것이라고 전합니다.

출처 : http://www.linuxinsider.com/story/Open-Source-Flaw-Devils-Ivy-Puts-Millions-of-IoT-Devices-at-Risk-84686.html

글쓰기

댓글 | 총 10 개

ZIMIX (4867365) (IP보기클릭)121.163.*.*	BEST 쓰기는 많이 쓰는데 기여는 안 하고. 그러면서 문제 생기면 오픈소스가 문제다...	17.07.23 16:16
DynamicX (231201) (IP보기클릭)112.171.*.*	BEST 제가 가진건 AXIS M3천 시리즈가 아니라 그런가 뭐 좀 틀린듯; 삼성 P6시리즈인데 해당 카메라 IP 치면 관리페이지 열리는 구조가 아니라 정보 가져오라는 gSOAP 호출URI가 좀 다른듯함; 흠.. 카메라IP쳐서 페이지 호출시 위처럼 SOAP응답 주면 해볼랬더니;;; 원래 IP뒤에 /onvif/device_service 이런식으로 정보도 가져오고 리부팅도 되고 리셋도 되고 이거저거 할수 있는데 위처럼 암호안넣으면 '인증안되서안해듐.' 뜨는데 위처럼 더미데이터 2기가 이상 넣어서 80 뻗게 한담에(포트는연결되어있고..) 실제 데이터 주고받아서 실행해주는 쉘 포트인 33153에 직접 명령어 날릴수잇도록 연결한 후에 80 포트는 끊고 31153에 직접 쉘명령어 통해서 리셋코드 변경 후저장해서 http 재연결 하는 방법이네요. 이떄는 리셋됬으니 비번생성하라고 페이지뜨는거고.. 영상식으로 접근가능한 카메라에게는 공격대상이 될 수도 있을 듯..	17.07.23 17:05
루리웹-2119639782 (4810835) (IP보기클릭)112.171.*.*	BEST 아 작년초에 교수님이 한말이 사실이구나.. iot사물인터넷이 아직은 과도기적이라고 ..	17.07.23 17:22

ZIMIX (4867365) (IP보기클릭)121.163.*.*	BEST 쓰기는 많이 쓰는데 기여는 안 하고. 그러면서 문제 생기면 오픈소스가 문제다... 등록	17.07.23 16:16
DynamicX (231201) (IP보기클릭)112.171.*.*	BEST 제가 가진건 AXIS M3천 시리즈가 아니라 그런가 뭐 좀 틀린듯; 삼성 P6시리즈인데 해당 카메라 IP 치면 관리페이지 열리는 구조가 아니라 정보 가져오라는 gSOAP 호출URI가 좀 다른듯함; 흠.. 카메라IP쳐서 페이지 호출시 위처럼 SOAP응답 주면 해볼랬더니;;; 원래 IP뒤에 /onvif/device_service 이런식으로 정보도 가져오고 리부팅도 되고 리셋도 되고 이거저거 할수 있는데 위처럼 암호안넣으면 '인증안되서안해듐.' 뜨는데 위처럼 더미데이터 2기가 이상 넣어서 80 뻗게 한담에(포트는연결되어있고..) 실제 데이터 주고받아서 실행해주는 쉘 포트인 33153에 직접 명령어 날릴수잇도록 연결한 후에 80 포트는 끊고 31153에 직접 쉘명령어 통해서 리셋코드 변경 후저장해서 http 재연결 하는 방법이네요. 이떄는 리셋됬으니 비번생성하라고 페이지뜨는거고.. 영상식으로 접근가능한 카메라에게는 공격대상이 될 수도 있을 듯.. 등록	17.07.23 17:05
루리웹-2119639782 (4810835) (IP보기클릭)112.171.*.*	BEST 아 작년초에 교수님이 한말이 사실이구나.. iot사물인터넷이 아직은 과도기적이라고 .. 등록	17.07.23 17:22
루리웹-2119639782 (4810835) (IP보기클릭)112.171.*.*	루리웹-2119639782 진짜 해킹하고 그런게 맞는말이네.. 무섭다..;; \| 17.07.23 17:22 \| \| \| 등록
엘라피나 (3055036) (IP보기클릭)118.38.*.*	오픈 소스 아니면 버그없나.. 등록	17.07.23 17:23
몬스터.[ (23868) (IP보기클릭)121.130.*.*	어차피 오픈소스의 장단점은 오랜기간동안 알려져왔기때문에 이런걸 제품으로 상업적 이용시에는 완벽하게 자신들이 이해하고 테스트하거나 문제발생시 대응방법을 만들지않고 무책임하게 단지 편하려고 사용하다보면 사고는 당연하다고 봐야죠 오픈소스라는게 누가 책임을 지는것도 지원을 약속하는것도 아닌데 무턱대고 신뢰를 한다는게 말이되지않죠 특히나 그나마 제품 업데이터설계라도되어있다면 모르지만 이미 뿌려진 제품은 결국 사용자가 책임을 떠안을수밖에없는거죠 등록	17.07.23 20:51
몬스터.[ (23868) (IP보기클릭)121.130.*.*	몬스터.[ 사용자라는게 오픈소스를 아무 검증없이 사용한 제품제작자들이 책임을 져야하죠;; \| 17.07.23 20:53 \| \| \| 등록
엘드리치 (3385966) (IP보기클릭)118.41.*.*	와치독 : 개꿀 등록	17.07.23 22:15
CCl4Ne (972535) (IP보기클릭)121.141.*.*	애초에 저 라이브러리 BSD도 아니고 듀얼 라이선스라 상업적으로 쓰려면 돈 내야 될텐데요 오픈소스가 문제가 아니라 취약점을 조기 발견하지 못한 개발회사와 라이브러리 관리를 엉망으로 하고 유지보수 하기 어려운 구조로 만들어 판 회사가 문제지 왜 오픈소스 이야기가 나오는지 모르겠네요 클로즈드 소스를 구매하여 쓴다고 해도 똑같은 문제인데 오픈소스 걸고 넘어지는거 보면 황당할 따름입니다 등록	17.07.23 23:04
println (580009) (IP보기클릭)175.194.*.*	오프소스의 장점은 소스가 공개되어서 수정이 빠르다는것과 공개되서 보안이 좀 약하다는건데.. 뭐 장점이 단점을 커버해서.. 그렇다고 클로즈 소스가 안뚫리는것도 아니라.. 윈도우도 심심하면 뚤리는 마당에.. 등록	17.07.24 18:25

로그인이 필요합니다.

글쓰기

읽을거리

2024.04.25 81523 141

[PS5] 국산 게임의 별로서 기억될 칼, 스텔라 블레이드 (131)

2024.04.25 56942 33

[MULTI] 탐험으로 가득한 사막과 맛있는 메카 전투, 샌드랜드 (36)

2024.04.22 115307 66

[MULTI] 아쉬움 남긴 과거에 보내는 마침표, 백영웅전 리뷰 (47)

2024.04.21 65337 28

[MULTI] 고전 명작 호러의 아쉬운 귀환, 얼론 인 더 다크 리메이크 (25)

글쓰기

공지

스킨

인증글 베스트

ID	구분	제목	글쓴이	추천	조회	날짜
118	전체공지	업데이트 내역 / 버튜버 방송 일정	8[RULIWEB]			2023.08.08
352195	공지	국내외 언론 및 웹진 불펌 금지. (2)	관리자	6	180579	2010.06.22

[S/W] 허깅페이스, 로봇 AI 학습 플랫폼 무료 공개"최대 규모 데이터셋 구축 목표" 사쿠라모리 카오리P \| 추천 0 \| 조회 270 \| 날짜 00:39
[참고] 드디어 뛰어넘었다! 정점 찍은 DDR5 세대교체 [차트뉴스] (6) 오토코 \| 추천 1 \| 조회 2329 \| 날짜 2024.05.07
[H/W] 대만 지진, 메모리업계 반사이익…"가격 인상 더 커진다" 오버테크 \| 추천 2 \| 조회 1403 \| 날짜 2024.05.07
[ETC] 한국인 에이펙스 팀, 세계대회 아시아 최초 우승 (19) SamusE \| 추천 31 \| 조회 4561 \| 날짜 2024.05.07
[ETC] DRAM의 아버지 로버트 데나드, 사망 (5) 라스트리스 \| 추천 28 \| 조회 5065 \| 날짜 2024.05.07
[S/W] 메타, LLM 성능 높이는 '멀티 토큰 예측' 아키텍처 공개 사쿠라모리 카오리P \| 추천 0 \| 조회 378 \| 날짜 2024.05.07
[S/W] 오픈AI, 코딩 성능 향상 위해 스택 오버플로우와 협력 사쿠라모리 카오리P \| 추천 1 \| 조회 528 \| 날짜 2024.05.07
[ETC] 일론 머스크 "인간 지능의 대부분 디지털 될 것" (1) 헤드샷21 \| 추천 1 \| 조회 867 \| 날짜 2024.05.07
[S/W] “윈도우 앱 안 부럽다” 리눅스 뉴비를 위한 추천 SW 10선 (14) 사쿠라모리 카오리P \| 추천 1 \| 조회 2998 \| 날짜 2024.05.07
[ETC] 구글 클라우드, 제미나이 1.5 프로 기반 ‘구글 위협 인텔리전스’ 서비스 공개 사쿠라모리 카오리P \| 추천 0 \| 조회 456 \| 날짜 2024.05.07
[ETC] "유튜브도 모자라 쿠팡도 올려? 다 끊을래"…구독경제 떠나는 이들, 왜? (44) 사쿠라모리 카오리P \| 추천 21 \| 조회 12687 \| 날짜 2024.05.07
[S/W] 미래엔 인간 감각까지 인식하는 초지능형 AI 나온다 (3) 사쿠라모리 카오리P \| 추천 2 \| 조회 870 \| 날짜 2024.05.07
[ETC] 'AI 특화' 클라우드 스타트업 확산...지속 가능할까? 사쿠라모리 카오리P \| 추천 0 \| 조회 460 \| 날짜 2024.05.07
[S/W] 애플도 참전… 빅테크 AI ‘쩐의 전쟁’ 달아오른다 사쿠라모리 카오리P \| 추천 1 \| 조회 508 \| 날짜 2024.05.07
[S/W] 마이크로소프트, SLM 넘어 매개변수 5000억개 규모 LLM도 자체 개발 사쿠라모리 카오리P \| 추천 4 \| 조회 1229 \| 날짜 2024.05.07
[S/W] 클로드3·GPT-4의 수학 실력은 "암기 아닌 추론" (2) 사쿠라모리 카오리P \| 추천 1 \| 조회 1273 \| 날짜 2024.05.07
[H/W] 레노보, 인텔 14세대 HX 모바일 CPU탑재한 데스크탑 PC 출시 (8) 스퀴니 \| 추천 4 \| 조회 3713 \| 날짜 2024.05.06
[H/W] 인텔은 PL2 188W를 'Intel Default Settings'으로 지정 (87) 류오동 \| 추천 17 \| 조회 10449 \| 날짜 2024.05.06
[H/W] [루머]인텔 배틀메이지 Xe2 GPU 보류, 셀레스티얼 Xe3 GPU도 연기될지도 (9) 밀봉 \| 추천 6 \| 조회 4077 \| 날짜 2024.05.06
[H/W] SK 하이닉스:"HBM 2025년 생산품 거의 완판됐다." (9) 밀봉 \| 추천 9 \| 조회 6122 \| 날짜 2024.05.06
[H/W] PC시장, 9분기 만에 성장 전환…올해 성장률 3% 전망 밀봉 \| 추천 1 \| 조회 1296 \| 날짜 2024.05.06
[H/W] 고공행진하는 D램 가격…지난달 고정거래가 16.67% 급상승 (2) 밀봉 \| 추천 5 \| 조회 3973 \| 날짜 2024.05.06
[H/W] [루머]ROG Ally 2 컴퓨텍스 2024에서 최소한의 변경으로 공개예정 (18) 밀봉 \| 추천 1 \| 조회 6216 \| 날짜 2024.05.06
[H/W] 아수스 로그 엘라이 2 확인 -차세대 UMPC가 해결해야 할 4가지 (7) 밀봉 \| 추천 0 \| 조회 3297 \| 날짜 2024.05.06
[H/W] 구멍 뚫린 제재…우크라 때린 北 미사일서 美 반도체 나왔다 (6) 불꽃남자 쟈기만 \| 추천 5 \| 조회 6915 \| 날짜 2024.05.05
[루머] 루나레이크 igpu는 전세대보다 고효율, 고성능 (6) 알면용취^^ \| 추천 3 \| 조회 3318 \| 날짜 2024.05.05
[ETC] 워렌 버핏 “AI는 핵무기와 비슷, 그 힘이 두렵다” (16) 오버테크 \| 추천 11 \| 조회 5829 \| 날짜 2024.05.05
[H/W] 인텔 Panther Lake CPU는 2025년 중반에 출시될 예정 (33) 춘리허벅지 \| 추천 1 \| 조회 3723 \| 날짜 2024.05.05

글쓰기 총 55228개의 글이 있습니다.

인증글 베스트 목록

1 2 3 4 5 6 7 8 9 10

ID	구분	제목	글쓴이	추천	조회	날짜
118	전체공지	업데이트 내역 / 버튜버 방송 일정	8[RULIWEB]			2023.08.08
352195	공지	국내외 언론 및 웹진 불펌 금지. (2)	관리자	6	180579	2010.06.22

[S/W] 허깅페이스, 로봇 AI 학습 플랫폼 무료 공개"최대 규모 데이터셋 구축 목표" 사쿠라모리 카오리P \| 추천 0 \| 조회 270 \| 날짜 00:39
[참고] 드디어 뛰어넘었다! 정점 찍은 DDR5 세대교체 [차트뉴스] (6) 오토코 \| 추천 1 \| 조회 2329 \| 날짜 2024.05.07
[H/W] 대만 지진, 메모리업계 반사이익…"가격 인상 더 커진다" 오버테크 \| 추천 2 \| 조회 1403 \| 날짜 2024.05.07
[ETC] 한국인 에이펙스 팀, 세계대회 아시아 최초 우승 (19) SamusE \| 추천 31 \| 조회 4561 \| 날짜 2024.05.07
[ETC] DRAM의 아버지 로버트 데나드, 사망 (5) 라스트리스 \| 추천 28 \| 조회 5065 \| 날짜 2024.05.07
[S/W] 메타, LLM 성능 높이는 '멀티 토큰 예측' 아키텍처 공개 사쿠라모리 카오리P \| 추천 0 \| 조회 378 \| 날짜 2024.05.07
[S/W] 오픈AI, 코딩 성능 향상 위해 스택 오버플로우와 협력 사쿠라모리 카오리P \| 추천 1 \| 조회 528 \| 날짜 2024.05.07
[ETC] 일론 머스크 "인간 지능의 대부분 디지털 될 것" (1) 헤드샷21 \| 추천 1 \| 조회 867 \| 날짜 2024.05.07
[S/W] “윈도우 앱 안 부럽다” 리눅스 뉴비를 위한 추천 SW 10선 (14) 사쿠라모리 카오리P \| 추천 1 \| 조회 2998 \| 날짜 2024.05.07
[ETC] 구글 클라우드, 제미나이 1.5 프로 기반 ‘구글 위협 인텔리전스’ 서비스 공개 사쿠라모리 카오리P \| 추천 0 \| 조회 456 \| 날짜 2024.05.07
[ETC] "유튜브도 모자라 쿠팡도 올려? 다 끊을래"…구독경제 떠나는 이들, 왜? (44) 사쿠라모리 카오리P \| 추천 21 \| 조회 12687 \| 날짜 2024.05.07
[S/W] 미래엔 인간 감각까지 인식하는 초지능형 AI 나온다 (3) 사쿠라모리 카오리P \| 추천 2 \| 조회 870 \| 날짜 2024.05.07
[ETC] 'AI 특화' 클라우드 스타트업 확산...지속 가능할까? 사쿠라모리 카오리P \| 추천 0 \| 조회 460 \| 날짜 2024.05.07
[S/W] 애플도 참전… 빅테크 AI ‘쩐의 전쟁’ 달아오른다 사쿠라모리 카오리P \| 추천 1 \| 조회 508 \| 날짜 2024.05.07
[S/W] 마이크로소프트, SLM 넘어 매개변수 5000억개 규모 LLM도 자체 개발 사쿠라모리 카오리P \| 추천 4 \| 조회 1229 \| 날짜 2024.05.07
[S/W] 클로드3·GPT-4의 수학 실력은 "암기 아닌 추론" (2) 사쿠라모리 카오리P \| 추천 1 \| 조회 1273 \| 날짜 2024.05.07
[H/W] 레노보, 인텔 14세대 HX 모바일 CPU탑재한 데스크탑 PC 출시 (8) 스퀴니 \| 추천 4 \| 조회 3713 \| 날짜 2024.05.06
[H/W] 인텔은 PL2 188W를 'Intel Default Settings'으로 지정 (87) 류오동 \| 추천 17 \| 조회 10449 \| 날짜 2024.05.06
[H/W] [루머]인텔 배틀메이지 Xe2 GPU 보류, 셀레스티얼 Xe3 GPU도 연기될지도 (9) 밀봉 \| 추천 6 \| 조회 4077 \| 날짜 2024.05.06
[H/W] SK 하이닉스:"HBM 2025년 생산품 거의 완판됐다." (9) 밀봉 \| 추천 9 \| 조회 6122 \| 날짜 2024.05.06
[H/W] PC시장, 9분기 만에 성장 전환…올해 성장률 3% 전망 밀봉 \| 추천 1 \| 조회 1296 \| 날짜 2024.05.06
[H/W] 고공행진하는 D램 가격…지난달 고정거래가 16.67% 급상승 (2) 밀봉 \| 추천 5 \| 조회 3973 \| 날짜 2024.05.06
[H/W] [루머]ROG Ally 2 컴퓨텍스 2024에서 최소한의 변경으로 공개예정 (18) 밀봉 \| 추천 1 \| 조회 6216 \| 날짜 2024.05.06
[H/W] 아수스 로그 엘라이 2 확인 -차세대 UMPC가 해결해야 할 4가지 (7) 밀봉 \| 추천 0 \| 조회 3297 \| 날짜 2024.05.06
[H/W] 구멍 뚫린 제재…우크라 때린 北 미사일서 美 반도체 나왔다 (6) 불꽃남자 쟈기만 \| 추천 5 \| 조회 6915 \| 날짜 2024.05.05
[루머] 루나레이크 igpu는 전세대보다 고효율, 고성능 (6) 알면용취^^ \| 추천 3 \| 조회 3318 \| 날짜 2024.05.05
[ETC] 워렌 버핏 “AI는 핵무기와 비슷, 그 힘이 두렵다” (16) 오버테크 \| 추천 11 \| 조회 5829 \| 날짜 2024.05.05
[H/W] 인텔 Panther Lake CPU는 2025년 중반에 출시될 예정 (33) 춘리허벅지 \| 추천 1 \| 조회 3723 \| 날짜 2024.05.05

본문

PS4 / PS5

XBO / XBSX

SWITCH

PSP / VITA

NDS / 3DS

판매순위

콘솔

PC

모바일

해외 버튜버

취미

예판/핫딜

종합게시판

봇게시판

RULICON

도쿄게임쇼

지스타

E3 expo

PlayX4

게임스컴

콘솔 스샷

PC온라인 스샷

PC패키지 스샷

모바일 스샷

(구)스샷/영상

콘솔 영상

PC온라인 영상

PC패키지 영상

모바일 영상

PC 정보

[S/W] 오픈 소스의 버그 'Devil's Ivy', 수백만 IoT 기기 위협 [10]