기사 한줄요약('22.6.28.) :
'자이' 아파트의 자이스마트홈 월패드에서 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점(CVE-2021-26638, CVSS 7.3점)이 발견되어 사용자로 우회해 홈 환경을 조작하고 제어할 수 있는 권한을 취득할 수 있어 3.3.10이상 버전으로 업데이트 조치와 이용 시에 주의가 필요해 보인다.
- 공격 : 거주자 인증 과정에서 검증 결과를 로컬 앱 환경 내에서 변조해 사용자 인증 우회
- 영향 : 공격자는 세대주 권한을 탈취해 실내 제어를 비롯한 홈 환경을 모두 조작하거나 제어 가능
- 취약 대상 : 자이S&D가 개발한 S&D스마트홈(스마트케어) 3.2.48 이전 버전
- 조치 방법 : S&D스마트홈(스마트케어) 버전 3.3.10 이상으로 설치
- 월패드 등 홈네트워크 기기 관리자 및 이용자 보안대책 (과기정통부)
1) 관리자 보안수칙:
①방화벽 등 보안장비 운영
②주기적인 보안취약점 점검 및 조치
③관리 서버에 불필요한 프로그램 및 서비스 제거
④관리자 비밀번호 주기적 변경하기
⑤침해사고 발생 시 인터넷침해대응센터(118)로 신고하기 등이 있다.
2) 기기 이용자 :
⑥기기는 반드시 암호를 설정하고 ‘1234’, ‘ABC’ 등 유추하기 쉬운 암호 사용하지 않기
⑦기기는 주기적으로 최신 보안업데이트 하기(매뉴얼 또는 제조 기업문의 등)
⑧카메라 기능 미이용시 카메라 렌즈 가리기 등을 실천해야 한다.
취약점 정보
- 출처 : KISA 인터넷 보호나라, https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66783
CVE-2021-26638 | Xi Smarthome wallpad authentication bypass vulnerability
□ Overview (개요)
o Xi S&D Inc. released security update to address Authentication bypass vulnerability in S&D smarthome(smartcare) application.
(자이 S&D Inc에서 S&D 스마트홈(스마트케어)에서 인증우회 취약점을 해결하기 위한 보안 업데이트를 출시했다.)
| Vulnerability Type | Impact | Severity | CVSS ScoreCVE | ID |
| Improper Authentication | authentication bypass and privilege escalation | High | 7.3 | CVE-2021-26638 |
□ Description (설명)
o Improper Authentication vulnerability in S&D smarthome(smartcare) application can cause authentication bypass and information exposure.
(S&D 스마트홈(스마트케어) 앱에서 부적절한 인증 취약점은 인증 우회와 정보 노출을 야기할수 있다.)
o Remote attackers can use this vulerability to take control of the home environment including indoor control.
(원격 공격자들은 내부 제어를 포함하여 홈 환경을 제어할수 있는 취약점을 이용할 수 있다.)
□ Affected Product (영향받는 제품)
| Product | Version | Platform |
| S&D smarthome (smartcare) | prior of 3.2.48 | Android |
□ Solution (해결책)
o Update software over S&D smarthome(smartcare) application 3.3.10 version or higher.
(S&D 스마트홈(스마트케어) 앱을 3.3.10버전이상으로 소프트웨어 업데이트)
□ Reference (출처)
[1] https://www.xisnd.com/
□ Acknowledgements
o Thanks to Youngwoo Kwon for reporting this vulnerability.
권준 기자, "아파트 월패드 해킹 공포 커진 이때... 자이스마트홈 월패드 취약점 발견", 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=107797
아파트 월패드 해킹 공포 커진 이때... 자이스마트홈 월패드 취약점 발견
대부분의 아파트에 기본으로 설치돼 있는 월패드의 해킹 위험 때문에 아파트 입주민들의 공포가 커지고 있는 가운데 최근 유명 아파트 브랜드 ‘자이’ 등에 설치되는 자이스마트홈 월패드에
m.boannews.com
