티스토리 뷰

Article/Leading Article

선관위 서버가 해킹 가능한 이유

꿈을 위해 잠을 잊은 그대에게 2020. 5. 9. 02:23

https://m.blog.naver.com/PostView.nhn?blogId=zeta7755&logNo=221523113456&categoryNo=25

 

선관위에 납품된 HP 서버에는 BMC 보드라는 것이 기본적으로 장착되어 있습니다. 이 보드는 서버에 전원이 꺼져

있어도 별도로 전원이 살아있어서 원격제어되는 서버 관리용 보드입니다. 서버 공격할때는 이 부분을 공격하는게

일반적입니다. 수퍼마이크로 서버도 마찬가지로 BMC 보드가 장착되어 있고 신형서버들은 다 BMC 보드를 장착하고

있다고 보시면 됩니다. 일전에 난리가 났었던 중국 스파이웨어 칩 사건에서 칩이 박혀있던 위치가 바로 BMC 보드

였었습니다.

 

선관위 서버가 위에서 보는 것 처럼 HP 서버 계열 iLO4 라고 가정하고요..(아마 맞을껍니다. 이거밖에 안팔더군요..)

만약 펌웨어 버전이 2.53 구버전이라면? 이 경우에 앞에서 언급한거처럼 서버의 BMC 포트(네트워크 랜선 꼽는 곳이 

두군데가 있어용..)에 랜선을 꽂아놨다면 100% 해킹됩니다.

 

왜냐면?

 

원격으로 이 BMC 보드의 웹서버를 공격해서 관리자 계정과 암호를 추출할 수 있는 취약점이 나온적이 있기 때문입니다.

이 추출한 관리자 계정으로 BMC 웹서버에 접속하게되면, 원격에서 서버를 부팅 과정부터 모두 다 제어할 수 있습니다.

 

관련 취약점 번호는 CVE-2017-12542 이며 비교적 최근에 발표되서 전세계가 난리가 났었습니다. 상당히 크리티컬한

취약점이기 때문이죠. 왜냐면 펌웨어 업데이트를 잘 안하거든요.

해당 CVE-2017-12542 취약점에 대한 내용을 공개한 회사는 다음 링크를 참고하십시오.

 

https://www.synacktiv.com/posts/exploit/rce-vulnerability-in-hp-ilo.html

 

별도로..

 

우리나라 기관은 HP 서버를 뚫는 취약점을 여러개 갖고 있는걸로 알고 있습니다. CVE-2017-12542 이거 말고도

HP 서버 원격에서 뚫고 제어할 수 있는 취약점 최소한 1개 이상 알려지지 않은 취약점(제로데이)을 갖고 있을 겁니다.

제로데이는 아마도 최신 펌웨어도 뚫을 수 있을 겁니다. HP 서버는 간단히 말해서 한국 기관이 다 해킹할 수 있다고 

보셔도 무방합니다. 그렇다고 수퍼마이크로 서버는 안전하느냐? 전혀 아니지요.. 이 서버도 제로데이를 다 갖고 있는

것으로 알고 있습니다.

 

그래서..

 

선관위는 이 BMC 보드에 꽂히는 랜선을 반드시 폐쇄망에 연결시켜놓고 인터넷이나 주변 네트워크와 연결되지 않게

단독회선으로 관리하거나.. 아예 랜선을 꽂아놓지 않거나(이러면 서버 관리가 힘듬) 했어야 하는 거고요..

보안전문가들은 권고사항에 원래 서버에 BMC 포트는 외부와 연결시키지 말아라라고 권고하죠..

만약, 이게 외부망(지역망)에 연결되는 순간 그냥 해킹당하려고 작정한거라고 보셔도 됩니다..

 

정리하자면..

 

선관위가 BMC 보드에 랜선을 꽂아서 사용했느냐? 이거 서버 로그 뒤지면 다 나올겁니다. 로그에 만약 BMC 의

네트워크에 할당된 IP 가 인터넷인지 아니면 내부 로컬망인지 여부 등등등 포렌식하면 다 나온다는 거지요..

만약, BMC 보드에 랜선을 꽂았던 적이 있고 할당된 아이피가 만약 외부망과 연결되어 있거나 업무용 망이라던지

등등등이 로그에 남아있다면.. 해킹 가능성을 무시할 수 없습니다. 어쩌면 해킹당한게 맞으면 서버에 접속 로그 

남아있을 수도 있습니다.

그리고 사람들이 잘 모르는거 같아서 이야기 해주는건데 현재 전세계 해커들 사이에 유행하는 공격이 서버 공격인데

서버 공격이라함은 바로 이 BMC 보드를 공격하는 겁니다. 다른말로 IPMI 프로토콜 공격이라고 합니다.

그리고.. 제가 알고있기로는 전세계 각국들은 HP 서버는 그냥 껌으로 다 해킹할 수 있을거고요.. 수퍼마이크로

서버도 누더기 된걸로 아는데 HP 는 뭐 걸레인걸로 알고요.. 다른 서버들도 비슷비슷한 상황으로 알고 있습니다.

그래서 보안전문가들은 이 사실을 잘 알고 있기 때문에 막을 방법이 없어서 그냥 랜선을 절대로 BMC 보드에 꽂지

말라고 권고합니다. 폐쇄망으로만 연결하라고 권고하죠. 왜 막을 방법이 없냐면 칩(펌웨어)이기 때문에 방어자들도

방어가 쉽지 않다는 문제가 있기 때문입니다. 칩에 문제가 있으면 방어자도 방어하기가 힘들기 때문에 아예 그냥

연결하지 말라고 하는거죠.. 그래서 이 BMC 보드와 IPMI 프로토콜 부분에서 전세계 정보기관의 비밀요원 해커들이 

모두 다 달라붙어있는 상태이므로.. 걸리면 뒈진다입니다.. 그래서 아예 포트 연결도 하지 말아라가 권고사항입니다.

만약, 선관위 서버가 증거보존이 되고 선관위 서버의 BMC 포트가 망에 연결됐다는 로그가 나온다면 그거 자체로도

문제지만 그 망이 전용망(분리망)이 아니라 업무용 망이거나 더 심각한건 인터넷이었다면 그냥 뒤질라고 작정한거라

보심 되는거임.. 심지어 누가 맘먹고 선관위 서버에 가까이 가서 노트북 꺼내놓고 랜선을 서버의 BMC 포트에 딸깍

껴놓고 그 상태로 그냥 바로 서버 해킹도 가능합니다. 이 방법이 솔직히 제일 간단한 방법이죠.
만약 당신이 IDC 센터에서 서버를 운영하고 있는데 HP 서버면 누가 데이타센터에 가서 당신 서버에 랜선 꽂아서

해킹하면 쥐도새도 모르게 해킹 가능함..

 

선관위는 이 내용을 알고 있는가?

 

선관위는 모르겠지만, 최소한 우리나라 최고 정보기관은 이 내용 다 알고 있습니다.. 저보다 더 많이 알고 있음..

근데 알면서도 입 다물고 있는 거 아니면.. 어쩌면.. 이번 415 부정선거는 누가 주체인지 답 그냥 다 나오는거 아님?

ㅎㅎㅎㅎㅎㅎㅎㅎㅎ

 

그들 짓이 아니길 빕니다..

 

댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크