ASUS의 사전 설치 드라이버 소프트웨어에서 원클릭 RCE 취약점 발견

 (mrbruh.com)
2P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • ASUS의 DriverHub 소프트웨어에서 원클릭 원격 코드 실행(RCE) 취약점이 발견됨
  • 로컬에서 origin 검증의 허술함으로 인해 악성 웹사이트가 RPC를 통해 관리자 권한 실행이 가능함
  • UpdateApp 엔드포인트를 악용하면 ASUS 서명 실행 파일과 조작된 ini 파일 조합으로 악성 코드가 실행됨
  • 이 취약점은 CVE-2025-3462, CVE-2025-3463으로 공개되었으며 ASUS는 패치를 빠르게 배포함
  • 취약점 보고 당시 실제 악용 사례 없음이 확인되었고, ASUS는 버그 바운티 대신 명예의 전당 등재로 보상함

Introduction

  • 새로운 PC 부품 구매 관련 이야기에서 시작됨
  • ASUS 메인보드 구입 시 BIOS가 자동 소프트웨어 설치 옵션이 기본 활성화 상태임
  • 실수로 옵션을 끄지 않아 Windows 로그인 후 DriverHub 설치 권한 요청을 받음
  • WiFi 드라이버 필요로 인해 호기심을 갖고 DriverHub를 설치함

DriverHub

  • DriverHub는 GUI 없이 동작하는 백그라운드 프로세스
  • driverhub.asus.com과 통신하여 설치/업데이트가 필요한 드라이버 목록을 알려줌
  • 로컬에서 HTTP API (포트 53000) 를 RPC로 제공함
  • 웹사이트가 이 로컬 서비스에 API 요청을 보내 직접 드라이버 관리가 가능함
  • 보안 미흡 시 공격자가 임의 요청을 날릴 수 있음을 인지함

Finding the Vulnerability

  • 웹사이트가 DriverHub 백엔드에 임의로 RPC 요청 가능한지 실험함
  • Origin이 “driverhub.asus.com”일 때만 응답하도록 설계됨
  • Origin 체크가 origin.includes("driverhub.asus.com") 식의 와일드카드 매치로 이루어지는지 확인함
  • Origin을 “driverhub.asus.com.mrbruh.com” 으로 변경 시 요청이 허용됨을 발견
  • 이 방식으로 공격자가 악성 사이트에서 RPC 호출을 할 수 있는 심각한 위험임을 확인함

The Extent of the Damage

  • 리버싱과 자바스크립트 분석을 통해 백그라운드에서 사용 가능한 API 엔드포인트 목록을 파악함
  • 주요 엔드포인트:
    • Initialize: 설치 상태 및 정보 반환
    • DeviceInfo: 설치된 ASUS 소프트웨어/드라이버/하드웨어/MAC 주소 반환
    • Reboot: 즉시 Reboot 수행
    • Log: 로그 파일 집합 반환
    • InstallApp: 지정한 ID의 앱 혹은 드라이버 설치
    • UpdateApp: 지정한 URL의 실행 파일 다운로드 후 실행(ASUS 서명 시 자동 실행)
  • 특히 UpdateApp이 악용될 수 있음에 주목함

Achieving RCE

  • UpdateApp 엔드포인트를 상세 분석함
  • “Url” 파라미터에 .asus.com 포함 조건이나 우회 가능성 존재, 파일명은 URL 끝에 따름
  • ASUS 서명된 실행 파일만 자동 실행되지만, 미서명 파일도 다운로드 후 파일이 삭제되지 않음
  • 서명 검증 통과 후 실행 직전에 파일을 교체하는 타이밍 공격 가능성 검토, 그러나 실용적이지 않음
  • ASUS WiFi 드라이버 패키지의 구조 분석 중 AsusSetup.ini의 SilentInstallRun 속성이 임의 커맨드 실행에 사용 가능함을 파악함
  • 최종 공격 체인:
    1. 공격자가 driverhub.asus.com. * 서브도메인 웹사이트 접근 유도
    2. 사이트가 악성 calc.exe를 UpdateApp으로 요청(다운로드만, 실행 안 됨)
    3. 커스텀 AsusSetup.ini 요청(SilentInstallRun=calc.exe 지정, 역시 실행 안 됨)
    4. 서명된 AsusSetup.exe 요청(관리자 권한으로 자동 실행, “-s” 플래그로 ini 읽고 calc.exe 실행됨)
  • 결과적으로 원클릭으로 원격 관리자 권한 임의 코드 실행(RCE)이 발생함

Reporting Timeline (DD/MM/YYYY)

  • 07/04/2025: 최초 취약점 발견함
  • 08/04/2025: RCE 증명 및 취약점 보고함
  • 09/04/2025: ASUS 자동응답 수신함
  • 17/04/2025: 패치 배포 및 패치 빌드 수령함
  • 18/04/2025: 패치 라이브 상태 확인함
  • 09/05/2025: CVE-2025-3462 (8.4점), CVE-2025-3463 (9.4점) 공개됨

Assessing the Damage

  • 취약점 보고 직후 certificate transparency 추적 스크립트 작성함
  • driverhub.asus.com.* 서브도메인 인증서 발급 이력 감시함
  • 1달 모니터링 결과, 필터에 걸린 사이트는 본인 테스트 외 존재하지 않음
  • 사전 악용 정황 없음 확인됨

Bug Bounty

  • ASUS에 버그 바운티 지급 여부 문의, 거절됨
  • 대체로 명예의 전당(hall of fame) 등재로 보상받음
  • ASUS가 대기업임에도 바운티 정책 미비 설명 추가됨

Fun Notes

  • ASUS Security Advisory 폼 제출 시 PoC가 Amazon CloudFront에 의해 악성 요청으로 차단됨
  • DriverHub에서 “Install All” 클릭 시 기타 소프트웨어(Norton360, WinRAR 등) 강제 설치됨
  • CVE 설명이 사실과 다르게 모호, '데스크탑/노트북에 영향 없음'으로 오해할 소지 있음 (실제는 DriverHub가 설치된 모든 기기 영향 받음)
  • WiFi 작동 여전히 안 됨, 외장 USB WiFi 어댑터 구매 필요
  • 문의는 Signal: paul19.84, 이메일 contact [at] mrbruh.com 안내
GN⁺ 2일전  [-]
Hacker News 의견
  • Responsible Disclosure의 결과가 인류에게 재앙처럼 느껴짐, 기업들이 고객의 보안을 심각하게 받아들이려면 더 자주 더 큰 고통을 겪을 필요가 있음, 문제를 발견해서 한 달 동안 고쳐보라고 해결책을 알려주면 기업 입장에서는 그냥 백로그 티켓 하나일 뿐임, 하지만 온라인 소식으로 CEO까지 나서야 하는 상황이 되면 몇 시간이면 해결 방법을 찾아낼 것임, 물론 최종적으로는 사용자가 가장 큰 피해를 입게 됨, 하지만 어차피 ASUS를 산다는 것만으로도 그들은 이미 고통받고 있음
    • ASUS의 이번 대처는 빠른 편임, 문제를 부인하지 않았고 리버스 엔지니어링한 사람을 고소도 안 했으며 곧바로 패치도 했음, 예전에는 이런 이슈가 몇 달씩 걸리거나 경찰이 개입했을 수도 있었음, 일반인들은 취약점에 신경 쓰지도 않음, 3년째 업데이트도 안 된 폰으로 금융거래 하는 세상이기 때문임, CVE 이슈로 언론을 도배해봐야 다들 그냥 무감각해질 뿐임, 유럽에서는 새로운 규제로 알려진 취약점이 있는 제품은 판매 자체가 금지됨, 그래서 ASUS가 계속 이런 식이면 마더보드 재고가 창고에 쌓여서 유통업체가 안 팔려고 할 것임, 이건 가전제품에도 해당됨, 예를 들어 식기세척기에 취약점 있으면 그 산업도 큰 피해를 입게 될 수 있음
    • "Responsible" Disclosure란 이름이 역설적으로 완전히 무책임한 행동임, 대부분의 기업은 한 주 안에 패치하지도 않고 공로도 인정 안 해주며, 사용자 공지도 안 하고 실수에서 배우지도 않음, 느리고 제한적인 공개가 오히려 그런 행동을 부추김, 정말 책임 있는 행동은 즉시, 완전하게 그리고 공개적으로 공개하는 것임, 그리고 만약 회사가 제대로 대응한다는 신뢰가 쌓이면 5 영업일 정도 선공지를 주는 것도 고려할 수 있음, 느리고 부분적으로 공개하는 걸 "responsible disclosure"라고 부르는 것 자체가 말장난에 불과함
    • 문제의 근원은 제품 책임에 대한 입법 부재임, 자동차 제조사들은 리콜 의무가 있지만 소프트웨어/하드웨어 회사들은 압박이 너무 약함, 고객이 취약점(CVE)이 고쳐지지 않은 제품에 대해 전액 환불받을 수 있어야 한다고 생각함
    • CGPGrey의 말을 빌리자면, 첫 번째로 떠오르는 해결책은 대부분 별로고 효과 없음, 좋은 보안 문화는 내부 문제 숨기지 않는 걸 독려해야 함, 기업들은 탐욕스러워서 보안 문제를 다 숨김, 발견 즉시 공개하면 한 달이면 충분히 고칠 수 있는 문제도 모두에게 노출되어 악용 가능성이 확 올라감
    • 비즈니스 아이디어가 있음, 이미 존재할 수도 있는데, 공개/중개 플랫폼으로서 신고자의 프라이버시 보호, 취약점의 실제 악용 가능성 검증, 정해진 일정마다 공개적 발표, 그리고 기업들이 자신에게 영향을 미치는 사전 피드를 구독해서 돈을 내면 신고자 보상, 운영비, 이익 분배에 활용하는 모델임, 이것이 버그 바운티 마켓플레이스와 유사하지만 기업 입장에선 약간 적대적임, 이게 합법인지, 갈취로 간주될지 궁금함
    • 계속 강조하지만 다른 산업처럼 제품의 결함에 대한 법적 책임이 있어야 함, 대부분 사람들은 싼 값 외에는 불량품을 용납하지 않는데 소프트웨어만 예외일 이유가 없음
    • 그냥 다음날 바로 취약점 공개하면 그것이야말로 진정한 동기 부여가 됨, 체면 상하는 것도 다음 보안에 도움이 됨
    • “인류에게 재앙”이라는 식의 과장은 논점을 망치는 대표적 사례임
  • ASUS에게 버그 바운티를 주냐고 물었더니, 그 대신 내 이름을 Hall of Fame에 올려주겠다고 했음, ASUS가 그냥 작은 스타트업이라 바운티 줄 자본이 없다는 농담인 듯해서 씁쓸함
    • Cisco처럼 작은 회사들도 비슷하게 보상 없이 그냥 이름 올려주기로만 함, Cisco는 보안 공지 페이지까지 잊어버려서 인정받을 기회도 사라짐
    • 버그 바운티 없으면 익스플로잇을 블랙마켓에 넘기는 수밖에 없거나 아니면 완전 공개하는 선택의 문제임
    • 이런 상황 때문에 ASUS 제품을 다시는 사고 싶지 않게 됨
  • ASUS 소프트웨어 품질도 안 좋고, 보안에서도 계속 문제를 일으키는 기업임, 예전에도 마더보드에서 UEFI 악성코드 이슈 있었고, 불필요한 소프트웨어가 기본 설치되어 지우기도 귀찮음, 많은 불만 사례가 있으니 참고할 만함
    • 이런 일이 처음도 아니었음, 예전에도 비슷한 사례가 있었고, 내 예전 블로그 내용도 기록으로 남겨놓았음
  • 자신의 테스트 도메인(driverhub.asus.com.*)만이 해당 조건에 맞으니 악용된 적 없다고 했지만, 이건 누군가가 driverhub의 하위 도메인만 따로 등록 안 했을 경우만 해당됨, 와일드카드 적용하면 인증서 투명성 로그에 안 보이고 악용 가능성 있음
    • 와일드카드 인증서는 한 단계 하위 도메인만 커버함, 예를 들어 ‘.example.com’은 ‘test.example.com’만 되고, 'test.test.example.com'은 안 됨, 만약 누군가 ‘.asus.com.example.com’ 와일드카드를 썼다면 ‘driverhub.asus.com.example.com’이 유효하게 될 수 있음
    • 좋은 아이디어라 바로 확인해봤다며, 현재 와일드카드 인증서로 의심스러운 것은 없음을 말함
    • 와일드카드 인증서의 사각지대는 맞는 지적임, attacker가 '.example.com' 와일드카드 인증서를 갖고 있었다면 실제로 driverhub.asus.com이 아닌 곳에서도 악용 가능했을 것임, 이 점 때문에 CT 로그 모니터링만으로는 이런 서브도메인 인수 취약점 포착이 완벽하지 않음
  • ASUS에게 버그 바운티를 물었더니 "우리는 작은 스타트업이라 바운티 없고 Hall of Fame에 이름 올려줄게"라고 답한 부분이 인상적임, 실제로는 시가총액 15B 이상인 거대 기업임
    • 비꼬는 농담으로 sarcasm.com을 추천함
  • 온보드 와이파이 안되서 USB 외장 와이파이 썼더니, DriverHub 덕분에 아무런 소용 없었음, 솔루션이라더니 실망임
    • 블로그 글 자체는 재미있게 읽었음
    • 최신 와이파이 드라이버가 동작하지 않아서 예전 버전을 써야 했음
  • ASUS가 시가총액 150억 달러에 달하는 대기업이면서도 제대로 보상도 해주지 않고, 고객과 연구자의 노고도 무시하는 모습임, 이런 처우를 보면 연구자들이 얼마나 억울할지 공감, 결론은 ASUS 제품 구매를 안 하는 게 최선임
  • 버그 리포트 제출할 때에 PoC 파일이 Amazon CloudFront에서 악의적인 요청으로 인식해서 제출 자체가 차단됨, 이런 식의 WAF(Web Application Firewall)는 오히려 안 좋은 패턴이나 사례임
  • 온보드 와이파이 문제 관련 불만에 공감, 사실 칩셋 모델만 확인해서 station-drivers 같은 곳에서 따로 다운받으면 몇 초면 됨, 이런 불편 때문에 ASUS를 좋아하지 않음, 운영체제와 직접 상호작용하는 BIOS 옵션은 특히 싫음
  • ASUS 제품은 좋아하지만 UEFI에 기본 설치되는 지원 앱은 무조건 비활성화함, 예전에는 풀 버전 ROG Armory Crate가 설치되어서 제거가 번거로웠음, ASUS가 Intel에서 NUC 사업을 인수한 뒤에도 BIOS 업데이트는 유지됐지만 "MyASUS" 같은 설치 앱이 기본 추가됨, 다행히 비활성화 옵션이 있어서, Intel NUC BIOS에서 업데이트한 경우에는 기본으로 꺼져 있는 것 같음
답변달기