IoT 기기 전면 장악 가능한 Mongoose RCE 및 mTLS 우회 취약점 분석

Context

Mongoose 네트워크 라이브러리 v7.20 이하 버전의 심각한 보안 결함 발견. 인증 전 원격 코드 실행(RCE) 및 상호 TLS(mTLS) 인증 우회 가능. 수백만 대의 IoT 기기가 잠재적 공격 대상인 구조.

Technical Solution

• mg_tls_recv_cert 함수 내 공개 키 길이 검증 누락으로 인한 Heap Buffer Overflow 해결
• mDNS 레코드 처리 과정의 길이 확인 로직 부재로 발생하는 Stack Buffer Overflow 차단
• P-384 공개 키의 신뢰 체인 검증 누락을 수정하여 위조 키를 통한 mTLS 인증 우회 방지
• Mongoose v7.21 이상 버전 업데이트를 통한 메모리 경계 검사 및 인증 로직 강화
• 패치 불가능한 레거시 시스템 대상의 네트워크 세그멘테이션 및 방화벽 기반 접근 제어 적용
• WAF 및 IDS 규칙 도입을 통한 비정상적 mDNS 레코드 및 TLS 인증서 필터링 전략

Key Takeaway

입력값 경계 검사 누락과 신뢰 모델 구현 오류는 단순 버그를 넘어 시스템 전체 권한 탈취로 이어지는 치명적 경로가 됨. 메모리 안전성이 낮은 언어 환경에서는 정적 분석 도구와 동적 테스트 프레임워크를 통한 지속적인 보안 감사 체계 구축이 필수적임.