ASUS 공유기 3종 ‘보안 취약’…혹시 내 공유기도?

김태우 발행인 2023.09.09 조회수

블리핑컴퓨터, 톰스가이드를 비롯한 IT 매체들은 9월 5일(현지시간) 대만 컴퓨터 관련 제품 제조사 에이수스(ASUS)에서 출시한 공유기에 치명적인 보안 취약점이 발견됐다는 소식을 보도했다. 매체는 대만 컴퓨터 비상 대응팀(CERT)의 발표를 인용해, 에이수스 공유기 3종에 3가지 취약점이 있다고 전했다.

■ ‘치명적 취약점’…해커가 공유기 훔쳐보고 조작할 수 있어

이번에 공개된 취약점과 주요 내용은 다음과 같다.

· CVE-2023-39238 : iperf 관련 API 모듈 ‘ser-iperf3_svr.cgi’의 입력 형식 문자열 검증이 부족

· CVE-2023-39239 : 일반 설정 기능 관련 API에서 입력 형식 문자열 검증이 부족

· CVE-2023-39240 : iperf 관련 API 모듈 ‘ser-iperf3_cli.cgi’의 입력 형식 문자열 검증이 부족

전반적으로 장치에 입력되는 명령어가 정상적인지 검증하는 절차가 미비하다는 이야기로, 사용자가 아닌 제삼자가 원격으로 내린 명령어를 구별하지 못할 가능성이 있다. 블리핑컴퓨터에 따르면 해커가 원격으로 프로그래밍 코드를 입력해 실행하거나 공유기를 통해 오가는 정보를 도청할 수 있다. 장치 관련 서비스를 중단하고 임의로 특정 작업을 수행하는 것도 가능하다.

CVSS(Common Vulnerability Scoring System) 3.1 버전을 기준으로 해당 취약점의 심각도는 9.8점으로 측정됐다. CVSS는 공격 복잡성과 권한, 공격 범위, 기밀성, 무결성, 가용성 등 여러 요소를 바탕으로 보안 취약점이 얼마나 심각한지 점수와 등급으로 표시하는 시스템이다. 점수는 0부터 10까지로 측정되는데, 0.1부터 3.9점까지는 ‘심각도 낮음’, 4.0부터 6.9점까지는 ‘심각도 중간’, 7.0부터 8.9까지는 ‘심각도 높음’, 9.0부터 10.0점까지는 ‘치명적’ 단계로 분류한다. 이번에 에이수스 공유기에서 발견된 보안 취약점은 상당히 우려할 만한 수준이라는 말이다.

■ 인기 제품들 보안 취약점 드러나…펌웨어 업데이트해야

보안 취약점이 발견된 공유기 3종 (출처 : ASUS)

해당 취약점이 발견된 에이수스 공유기 제품은 △RT-AX55 △RT-AX56U_V2 △RT-AC86U 총 3종류다. 와이파이6(Wi-Fi 6)와 기가비트 랜을 지원하며, 가격 대비 성능이 좋아 국내에서도 게이밍 공유기로 인기 있는 모델이다.

에이수스는 이미 해당 취약점에 대응했다. 올해 5월 RT-AX56U_V2, 7월 RT-AC86U, 8월 RT-AX55 모델의 취약점을 보완하는 펌웨어를 배포했다. 공유기에 자동 업데이트 설정이 활성화됐다면 이미 보안 패치가 적용됐을 가능성이 높다.

에이수스 공유기 설정 화면 (출처 : ASUS)

자동 업데이트 설정이 되지 않은 공유기를 사용하고 있거나, 현재 보안 패치가 적용된 펌웨어를 사용하고 있는지 확인하려면 공유기 관리 페이지에 접속해야 한다. 크롬·사파리·엣지 등 웹 브라우저를 열고 주소창에 192.168.50.1 또는 http://www.asusrouter.com 를 입력한다. 기본 사용자 이름과 암호는 ‘admin’이며, 첫 로그인 이후 환경설정에서 변경할 수 있다.

현재 공유기에 최신 펌웨어가 적용되지 않았다면 메인 페이지 오른쪽 위에 업데이트 알림 창이 보인다. 혹은 [관리] > [시스템] > [펌웨어 업그레이드] 항목으로 이동해 현재 펌웨어 버전을 확인하고 최신 버전으로 업데이트할 수 있다.

보안 취약점이 해결된 펌웨어 버전은 다음과 같다.

· RT-AX55 : 3.0.0.4.386_51948 이상

· RT-AX56U_V2 : 3.0.0.4.386_51948 이상

· RT-AC86U : 3.0.0.4.386_51915 이상