728x90
반응형
내용 요약
Meta Platforms WhatsApp와 TP‑Link TL‑WA855RE에서 각각 권한 부재와 인증 미흡이 발견되었습니다. BOD 22‑01 가이드라인을 따라 공급업체 지침을 적용하거나, 대응이 불가능할 경우 서비스 중단이 권고됩니다.
핵심 포인트
- BOD 22‑01 가이드에 따라 cloud‑서비스 사용 시 공급업체 지침을 준수하도록 요구.
- WhatsApp CVE‑2025‑55177: 연결 장치 동기화 메시지의 인가 부재로 임의 URL에서 악성 컨텐츠를 실행할 수 있음.
- TP‑Link CVE‑2020‑24363: 같은 네트워크에서 인증 없이 TDDP_RESET POST 요청을 보내고, 공장 초기화 후 새 관리자 비밀번호를 설정해 제어권을 탈취할 수 있음.
기술 세부 내용
1️⃣ WhatsApp Incorrect Authorization Vulnerability (CVE‑2025‑55177)
- 동기화 흐름 파악 – WhatsApp은 기기 간 동기화를 위해 메시지를 전송.
- 인증 절차 부재 – 동기화 메시지에 사용자의 인증 토큰이 포함되지 않음.
- 공격 시나리오 – 공격자는 타깃 사용자와는 무관한 계정으로, “링크된 장치 동기화” 요청을 보냄.
- 결과 – 대상 기기에서 임의 URL의 콘텐츠(예: 스크립트, 파일)가 처리되고 실행됨.
- 대응 – Meta에서는 패치 제공 중이며, 즉시 적용이 권고됩니다.
2️⃣ TP‑Link TL‑WA855RE Missing Authentication for Critical Function (CVE‑2020‑24363)
- 같은 네트워크 내 공격자 – 라우터와 동일 LAN에 연결된 장치에서 접근.
- TDDP_RESET POST 요청 – 인증 없이
/api/tddp_reset엔드포인트에 POST 전송. - 공장 초기화 트리거 – 라우터가 재시작하고 모든 설정이 초기값으로 리셋.
- 비밀번호 재설정 – 초기화 후, 공격자는 “admin” 사용자로 접속해 새 비밀번호를 설정.
- 결과 – 기존 사용자는 접근할 수 없으며, 공격자는 완전한 관리자 권한을 획득.
- 대응 – 제품이 EoL/EoS 상태이므로 사용 중단이 가장 안전하며, 가능하다면 최신 펌웨어(보안 패치 포함)로 교체해야 합니다.
주의: 두 제품 모두 공급업체가 제공한 패치를 적용하지 못할 경우, 즉시 서비스 중단을 권고합니다. BOD 22‑01에 명시된 절차를 따라 cloud 서비스 사용 여부를 재검토하십시오.
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [보안뉴스]ETRI, 지능형 감시 국제대회 세계 1위...스마트시티 핵심 기술력 입증 (0) | 2025.09.03 |
|---|---|
| [보안뉴스]“해킹 침해사건 대응 정부 조사권한 강화”...최수진 의원, 정보통신망법 개정안 발의 (0) | 2025.09.03 |
| [데일리시큐]롯데카드 해킹, 시작은 취약점 패치안된 서버…개인정보 유출은 좀더 조사해야 (1) | 2025.09.02 |
| [보안뉴스]롯데카드, 2017년 공개된 취약점에 당했다..."제2금융권 전반 ‘기본적 보안’ 미흡 투영" (0) | 2025.09.02 |
| [KRCERT]넷엔씨큐 제품 보안 조치 권고 (0) | 2025.09.02 |