AI 요약
한 보안 연구원이 '크리에이티브 사운드 블라스터 카타나 V2X(Creative Sound Blaster Katana V2X)' USB PC 사운드바의 펌웨어를 분석하는 과정에서 심각한 보안 취약점을 발견했습니다. 초기에는 리눅스 환경에서 스피커를 제어하기 위한 단순 도구 개발로 시작했으나, 분석 결과 물리적 접촉이나 페어링 과정 없이도 약 15미터 범위 내의 임의의 공격자가 기기를 원격 감청 도구나 무단 명령 주입 도구(Rubber Ducky)로 악용할 수 있음이 확인되었습니다. 이 기기는 설정 변경을 위해 CTP(Creative Transport Protocol)라는 독자 프로토콜을 사용하는데, 여기에 사용되는 인증 키가 고정(Static)되어 있어 앱 바이너리에서 쉽게 추출할 수 있는 취약점이 존재합니다. 또한, 펌웨어 업데이트 과정에서 파일 무결성을 검증하는 장치가 쉽게 조작 가능한 단순 SHA-256 체크섬(CHK2)에 불과해 공격자가 임의로 작성한 펌웨어를 주입할 수 있는 위험성이 존재합니다.
핵심 인사이트
- 15미터 원격 제어 취약점: 물리적 접촉이나 페어링 과정 없이, 대상 Katana V2X 기기의 약 15미터 반경 내에서 공격자가 원격으로 기기를 무단 통제하고 감청할 수 있습니다.
- 고정 인증 키 유출: 기기 제어 프로토콜인 CTP의 챌린지-응답 인증에 사용되는 키가 고정되어 있으며, PC용 Creative App 바이너리 분석을 통해 쉽게 도출이 가능합니다.
- 펌웨어 보안 서명 부재: 펌웨어 무결성 검증 시스템이 단순 SHA-256 체크섬(CHK2) 구조로 되어 있어, 악성 펌웨어 변조 방지를 위한 강력한 디지털 서명 기술이 결여되어 있습니다.
주요 디테일
- 운영체제 식별: 분석 결과, 스피커 내부의 주 펌웨어(FMAIN)와 부트로더/복구 모드(FBOOT)는 모두 수정된 FreeRTOS 8.2.3 버전을 기반으로 컴파일된 상태입니다.
- 펌웨어 구성 요소: 독자적인 펌웨어 컨테이너는 사실상 원시적인 Zip 파일 형태이며, 복구 모드인 FBOOT, FBOOT보다 약 6.5배 큰 주 실행 펌웨어 FMAIN, 그리고 파일 끝에 추가된 SHA-256 체크섬인 CHK2로 구성되어 있습니다.
- 데이터 추출 방식: 연구원은 와이어샤크(Wireshark)를 이용해 USB 트래픽 분석(Sniffing)을 진행함으로써 초기 펌웨어 이미지를 추출하는 데 성공했습니다.
- 물리적 안전장치: 기기가 벽돌이 되었을 때 복구할 수 있는 FBOOT 복구 모드는 전원을 켤 때 본체의 'SOURCE' 버튼을 길게 누르는 방식으로 진입할 수 있습니다.
향후 전망
- 제조사 패치 시급: 무단 펌웨어 업데이트를 차단하기 위해 크리에이티브(Creative) 사의 암호화 및 서명 검증 방식이 적용된 신규 펌웨어 배포가 요구됩니다.
- IoT 기기 무선 위협 방지 조치: 블루투스 및 기타 무선 통신 범위 내에서 발생할 수 있는 프로토콜 무단 악용 사례를 막기 위해, 임베디드 오디오 기기 전반에 대한 무선 세션 암호화 표준 도입이 한층 가속화될 것으로 예상됩니다.
출처:hackernews