인기 높은 라우터들 중 오래된 모델들의 경우 공격자들의 관심이 끊이지 않는다. 제조사의 지원도 끝났을 뿐더러, 사용자들조차 크게 신경을 쓰지 않기 때문이다. 사용자 편에서의 라우터 사용 습관 재정비가 필요하다.
3줄 요약
1. 디링크의 일부 장비들에서 발견된 옛 취약점이 현재에도 악용됨.
2. 그 취약점들 중에는 무려 10년 전에 패치가 나온 것도 있음.
3. 주기적인 펌웨어 업데이트 확인과 적용이 필수적인 습관.
[보안뉴스 문가용 기자] 디링크(D-Link)에서 만든 오래된 장비들의 오래된 취약점들이 꾸준한 공격 대상이 되고 있다. 보안 업체 포티넷(Fortinet)은 최근 두 가지 봇넷이 디링크의 장비를 집중적으로 노리며 확장되고 있는 것을 발견했다며 보고서를 발표했다.
[이미지=gettyimagesbank]
먼저 이 두 캠페인들에 영향을 받는 장비는 다음과 같다고 한다.
1) 디링크 DIR_645 유선/무선 라우터 Rev. Ax(펌웨어 1.04b12 및 이전 버전)
2) 디링크 DIR-806 장비
3) 디링크 GO-RT-AC750 GORTAC750_revA_v101b03 및 GO-RT-AC750_revB_FWv200b02
4) 디링크 DIR-845L 라우터 v1.01KRb03 및 그 이전 버전
현재 두 봇넷의 표적이 되고 있는 산업이나 지역, 기업은 딱히 정해져 있지 않은 것으로 보인다. 즉 위에 언급된 장비를 가지고 있는 조직이나 개인이라면 누구나 공격 대상이 될 수 있다는 뜻이다. “공격자가 익스플로잇에 성공해 장비를 장악할 경우, 시스템을 온전히 제어할 수 있게 됩니다. 위험도가 매우 높은 상황이라고 할 수 있습니다.”
봇넷의 정체
포티넷이 분석한 바에 따르면 두 봇넷 중 하나는 피코라(Ficora)로, 저 유명한 사물인터넷 봇넷인 미라이(Mirai)의 변종이라고 한다. 다른 하나는 캡사이신(Capsaicin)으로, 카이텐(Kaiten)이라는 봇넷의 변종이다. “이 두 가지 봇넷은 가정용 네트워크 관리자 인터페이스의 GetDeviceSettings라는 액션을 통해 원격 공격자가 각종 명령을 실행할 수 있도록 해 주는 취약점들을 통해 퍼지는 것으로 분석됐습니다.”
여기서 언급되고 있는 취약점은 다음과 같다. 번호에서 볼 수 있듯 대단히 오래된 것들도 포함되어 있다.
1) CVE-2015-2051
2) CVE-2019-10891
3) CVE-2022-37056
4) CVE-2024-33112
현재 피코라 봇넷이 퍼지는 근거지는 네덜란드에 위치한 한 서버인 것으로 분석되고 있다. 여기서부터 전 세계 여러 국가들로 확산되는 중이라고 한다. 캡사이신은 2024년 10월 21과 22일 집중적으로 활동했고, 지금은 잠시 주춤한 상태라고 한다. 그 이틀 동안 주로 동아시아 국가들에서 피해가 발생했다고 포티넷은 보고서를 통해 설명했다.
그래서?
이 캠페인들에서 주목할 만한 건 약 10년 전에 이미 공개되고 패치된 취약점이 활발히 활용되고 있었다는 것이라고 포티넷은 지적한다. “별개로 보이는 두 개의 봇넷 캠페인이 거의 비슷한 시기에 나타났고, 똑같이 오래된 취약점들을 공략했다는 건 시사하는 바가 적지 않습니다. 실제 이 두 캠페인 외에도 오래된 취약점이 악용되는 사례는 보안 업계에서 흔히 나타나고 있기도 하고요.”
이는 곧 장비를 사용하는 사람이나 조직 편에서 해야 할 일을 하지 않았다는 뜻이 된다. 10년 동안이나 패치를 미뤄왔다는 뜻이 되기 때문이다. “펌웨어 업데이트는 이제 기본 보안 소양입니다. 소프트웨어 최신화도 마찬가지이고, OS 업데이트도 똑같습니다. 보안 업데이트는 더 이상 간과할 수 없는 것이 되었으며, 가능하다면 아예 자동으로 설정해두는 것이 낫습니다.”
그 외에도 기업이나 기관이라면 라우터들을 중심으로 포괄적인 모니터링 체제를 구축하는 것도 중요하다고 포티넷은 강조한다. “업데이트를 아무리 부지런히 한다고 하더라도 공격자가 더 빨리 취약점을 익스플로잇 하면 아무 소용이 없습니다. 그러므로 업데이트를 부지런히 하는 것에 더해 모니터링을 통해 그런 빈틈까지 방비해야 합니다. 패치와 모니터링은 라우터와 사물인터넷을 가지고 있는 모든 조직들의 기본 운영 방침이 되어야 할 것입니다.”
피코라와 캡사이신에 대한 보다 상세한 내용은 이번 주 목요일(2일)에 발간되는 프리미엄 리포트 중 보안뉴스 확장판을 통해 확인이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 디링크의 일부 장비들에서 발견된 옛 취약점이 현재에도 악용됨.
2. 그 취약점들 중에는 무려 10년 전에 패치가 나온 것도 있음.
3. 주기적인 펌웨어 업데이트 확인과 적용이 필수적인 습관.
[보안뉴스 문가용 기자] 디링크(D-Link)에서 만든 오래된 장비들의 오래된 취약점들이 꾸준한 공격 대상이 되고 있다. 보안 업체 포티넷(Fortinet)은 최근 두 가지 봇넷이 디링크의 장비를 집중적으로 노리며 확장되고 있는 것을 발견했다며 보고서를 발표했다.
[이미지=gettyimagesbank]
먼저 이 두 캠페인들에 영향을 받는 장비는 다음과 같다고 한다.
1) 디링크 DIR_645 유선/무선 라우터 Rev. Ax(펌웨어 1.04b12 및 이전 버전)
2) 디링크 DIR-806 장비
3) 디링크 GO-RT-AC750 GORTAC750_revA_v101b03 및 GO-RT-AC750_revB_FWv200b02
4) 디링크 DIR-845L 라우터 v1.01KRb03 및 그 이전 버전
현재 두 봇넷의 표적이 되고 있는 산업이나 지역, 기업은 딱히 정해져 있지 않은 것으로 보인다. 즉 위에 언급된 장비를 가지고 있는 조직이나 개인이라면 누구나 공격 대상이 될 수 있다는 뜻이다. “공격자가 익스플로잇에 성공해 장비를 장악할 경우, 시스템을 온전히 제어할 수 있게 됩니다. 위험도가 매우 높은 상황이라고 할 수 있습니다.”
봇넷의 정체
포티넷이 분석한 바에 따르면 두 봇넷 중 하나는 피코라(Ficora)로, 저 유명한 사물인터넷 봇넷인 미라이(Mirai)의 변종이라고 한다. 다른 하나는 캡사이신(Capsaicin)으로, 카이텐(Kaiten)이라는 봇넷의 변종이다. “이 두 가지 봇넷은 가정용 네트워크 관리자 인터페이스의 GetDeviceSettings라는 액션을 통해 원격 공격자가 각종 명령을 실행할 수 있도록 해 주는 취약점들을 통해 퍼지는 것으로 분석됐습니다.”
여기서 언급되고 있는 취약점은 다음과 같다. 번호에서 볼 수 있듯 대단히 오래된 것들도 포함되어 있다.
1) CVE-2015-2051
2) CVE-2019-10891
3) CVE-2022-37056
4) CVE-2024-33112
현재 피코라 봇넷이 퍼지는 근거지는 네덜란드에 위치한 한 서버인 것으로 분석되고 있다. 여기서부터 전 세계 여러 국가들로 확산되는 중이라고 한다. 캡사이신은 2024년 10월 21과 22일 집중적으로 활동했고, 지금은 잠시 주춤한 상태라고 한다. 그 이틀 동안 주로 동아시아 국가들에서 피해가 발생했다고 포티넷은 보고서를 통해 설명했다.
그래서?
이 캠페인들에서 주목할 만한 건 약 10년 전에 이미 공개되고 패치된 취약점이 활발히 활용되고 있었다는 것이라고 포티넷은 지적한다. “별개로 보이는 두 개의 봇넷 캠페인이 거의 비슷한 시기에 나타났고, 똑같이 오래된 취약점들을 공략했다는 건 시사하는 바가 적지 않습니다. 실제 이 두 캠페인 외에도 오래된 취약점이 악용되는 사례는 보안 업계에서 흔히 나타나고 있기도 하고요.”
이는 곧 장비를 사용하는 사람이나 조직 편에서 해야 할 일을 하지 않았다는 뜻이 된다. 10년 동안이나 패치를 미뤄왔다는 뜻이 되기 때문이다. “펌웨어 업데이트는 이제 기본 보안 소양입니다. 소프트웨어 최신화도 마찬가지이고, OS 업데이트도 똑같습니다. 보안 업데이트는 더 이상 간과할 수 없는 것이 되었으며, 가능하다면 아예 자동으로 설정해두는 것이 낫습니다.”
그 외에도 기업이나 기관이라면 라우터들을 중심으로 포괄적인 모니터링 체제를 구축하는 것도 중요하다고 포티넷은 강조한다. “업데이트를 아무리 부지런히 한다고 하더라도 공격자가 더 빨리 취약점을 익스플로잇 하면 아무 소용이 없습니다. 그러므로 업데이트를 부지런히 하는 것에 더해 모니터링을 통해 그런 빈틈까지 방비해야 합니다. 패치와 모니터링은 라우터와 사물인터넷을 가지고 있는 모든 조직들의 기본 운영 방침이 되어야 할 것입니다.”
피코라와 캡사이신에 대한 보다 상세한 내용은 이번 주 목요일(2일)에 발간되는 프리미엄 리포트 중 보안뉴스 확장판을 통해 확인이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
