제로데이 취약점은 공격자가 제조사 혹은 개발사보다 먼저 발견한 취약점을 지칭하는 게 보통이다. 그런데 그렇지 않은 제로데이 취약점도 있다. 이번에 퍼지기 시작한 미라이 변종이 모두가 간과하는 취약점 유형이 하나 있다고 세상에 알렸다.
[보안뉴스 문정후 기자] 미라이(Mirai) 봇넷 멀웨어의 변종이 다시 한 번 발견됐다. 모든 미라이 변종들이 그러하듯 이번 변종도 사물인터넷 장비들을 감염시키고 있었는데, 에이브이테크(AVTECH)라는 회사에서 만든 CCTV 장비들이 집중적으로 공략되고 있었다고 보안 업체 아카마이(Akamai)가 밝혔다. 공격자들은 이 CCTV들에 공통적으로 존재하는 제로데이 취약점을 노린 것으로 분석됐다.
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2024-7029다. 일종의 명령 주입 취약점으로, 에이브이테크 제품에 탑재된 밝기 조정 기능에서 발견됐다. 발견자는 앨린 엘리오비치(Aline Eliovich)라는 보안 전문가라고 하며, “이 취약점을 익스플로잇 하는 데 성공한 공격자는 원격에서 코드를 실행할 수 있다”고 아카마이는 경고했다. 이 취약점을 통해 퍼지고 있는 미라이 변종의 이름은 코로나미라이(Corona Mirai)다. 여기서 코로나는 지난 3~4년 동안 전 세계를 공포로 몰아넣었던 바로 그 코로나 바이러스의 이름에서 나온 것이다.
“이번 코로나미라이 캠페인은 CVE-2024-7029 취약점만 익스플로잇 하지 않습니다. 봇넷은 되도록 많은 장비를 편입시켜야 좋은 거니 여러 개의 취약점을 한꺼번에 노리고 있지요. 이번 캠페인에서 악용되는 것으로 분석된 취약점에는 하둡얀(Hadoop YARN)에서 발견된 CVE-2014-8361과 CVE-2017-17215도 있습니다. 대단히 오래된 취약점들이라는 공통점이 있죠. 사실 CVE-2024-7029도 마찬가지입니다.” 왜 아카마이는 CVE-2024-7029라는, 올해 발견되어 2024라는 넘버링이 붙은 취약점도 오래된 취약점이라고 하는 것일까?
CVE-2024-7029 취약점의 뿌리
이번 캠페인을 추적했을 때 아카마이는 “캠페인의 시작 시점은 올해 3월 18일인 것으로 보인다”고 발표했다. “하지만 CVE-2024-7029라는 취약점에 대한 개념 증명용 익스플로잇이 공개된 건 무려 2019년이라는 사실을 알게 됐습니다. 어쩌면 저희가 발견하지 못했을 뿐, 그 전부터 익스플로잇 코드가 돌아다니고 있었을 수도 있습니다. 어찌된 일일까요? 2019년 당시에는 이 취약점에 CVE 번호가 부여되지 않았습니다. 취약점은 거기 있었는데, 이름이 없었던 것이죠.”
이름이 없으니 이 취약점에 대한 정보가 뚜렷하게 전파되지도 않았고, 경고가 나와도 흐지부지 사라졌으며, 심지어 패치도 되지 않았다는 게 아카마이의 설명이다. “원래 CVE 번호가 할당되지 않은 취약점들은 관리가 잘 되지 않습니다. 그래서 알려지지도 않고, 경고도 되지 않으며, 쉬이 기억 속에서 사라지기도 합니다. 공격자들은 오히려 이런 취약점을 더 좋아하죠. 아무도 몰래 자기들끼리만 활용할 수 있게 되니까요.” CVE-2024-7029라는 번호가 붙은 건 이번 달의 일이다.
어떤 장비에 영향이 있는가?
아카마이는 에이브이테크의 CCTV 제품들 중 AVM1203 펌웨어 FullImg-1023-1007-1011-1009 버전과 그 이전 버전이 설치된 장비들에서 이 취약점이 발견되고 있다고 경고했다. 다행히 이 조건에 부합하는 장비들은 오래 전에 단종된 것들이고, 따라서 지금은 구매하기가 어렵다. “하지만 CCTV 사용자들의 특성상 오래된 장비들도 그대로 놔두는 경우가 태반이죠. 미국의 정보 보안 전담 기관인 CISA도 CVE-2024-7029에 대한 보안 경고문을 발표하면서 문제가 되는 CCTV 카메라들이 세계 곳곳에서 널리 사용되고 있다고 했을 정도입니다.”
공격자들이 이런 오래된 장비를 발견해 공격하기로 마음을 먹는다면, 원격 코드 실행 단계에까지 이를 수 있다고 아카마이는 설명한다. “공격자들은 이 취약점을 통해 자바스크립트 파일을 다운로드 해 실행했습니다. 이 자바스크립트는 다른 곳에서 진짜 멀웨어를 가져와 피해자 시스템에 심고요. 이 경우 ‘진짜 멀웨어’라는 건 코로나미라이를 말하죠.” 참고로 코로나미라이라는 변종은 이미 2020년에 처음 발견된 바 있다. 이번 캠페인을 두고 ‘공격자들이 제로데이 취약점을 통해 미라이 변종을 퍼트리고 있다’는 식의 보도가 이뤄지고 있는데, 한 겹 깊이 들어가면 오래된 취약점을 오래된 멀웨어가 파고들고 있는 사건에 더 가깝다는 걸 알 수 있다.
취약한 CCTV 장비에 안착한 코로나미라이는 23번, 2323번, 37215번 포트를 통해 대량의 호스트에 접속한다. 그런 다음 콘솔에 코로나(Corona)라는 문자열을 출력하기 시작한다. CVE-2014-8361과 CVE-2017-17215 취약점을 익스플로잇 한 후에도 비슷한 방법으로 움직인다고 아카마이는 경고했다. 어떤 취약점을 통해 들어가든 이번 코로나미라이는 결국 원격 호스트와의 연결부터 성립시킨다는 것이다.
CVE 번호의 중요성
“이번 캠페인은 대단히 중요한 것을 우리에게 상기시켜 줍니다. 공식 CVE 번호가 없는 취약점도 여전히 취약점이라는 사실입니다. 심지어 그 취약점이 실제 위협이 되기도 한다는 것도 중요한 교훈이죠. 공격자들은 잘 알려져서 익숙해진 취약점을 공략하기도 하지만, 아무도 몰라 방어할 수 없는 취약점도 늘 공격하고 싶어합니다. 이른 바 제로데이 취약점이 이런 맥락에서는 대표적인데, CVE-2024-7029처럼 ‘이름 없는’ 취약점도 비슷한 효과를 갖습니다. CVE 번호가 붙지 않은 취약점은 제로데이에 준하는 취약점으로 인식해야 합니다.”
세상에는 수많은 취약점이 존재한다. 적잖은 수가 CVE 번호를 받지 못한다. 그럼에도 누군가는 개념 증명용 익스플로잇을 만들어 공개한다. 이름이 없어 관리가 힘든 상태인데, 공격 방법만큼은 부지런히 개발된다는 의미다. “안타깝지만 그게 작금의 현실입니다. 이름 없는 취약점은 패치는 되지 않는데 익스플로잇은 된다는 것 말입니다. 이름이 붙은 취약점도 관리하기 힘든데, 그렇지 않은 취약점까지 관리하라는 게 얼마나 비현실적인 소리로 들리는 지도 압니다. 하지만 공격자들은 그런 사정을 봐주지 않는 것도 알아야 합니다. 이런 취약점들을 관리하기가 힘들다면, 해당되는 장비들을 잠시 꺼두는 것도 방법일 수 있습니다.”
3줄 요약
1. 한 CCTV 회사의 오래된 제품의 제로데이 취약점 통해 미라이 변종이 퍼짐.
2. 알고 보니 그 제로데이는 오래 전에 발견됐는데 CVE 번호가 붙질 않아 아무도 몰랐던 것.
3. CVE 번호 부여되지 않은 취약점도 요주의 대상.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 미라이(Mirai) 봇넷 멀웨어의 변종이 다시 한 번 발견됐다. 모든 미라이 변종들이 그러하듯 이번 변종도 사물인터넷 장비들을 감염시키고 있었는데, 에이브이테크(AVTECH)라는 회사에서 만든 CCTV 장비들이 집중적으로 공략되고 있었다고 보안 업체 아카마이(Akamai)가 밝혔다. 공격자들은 이 CCTV들에 공통적으로 존재하는 제로데이 취약점을 노린 것으로 분석됐다.
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2024-7029다. 일종의 명령 주입 취약점으로, 에이브이테크 제품에 탑재된 밝기 조정 기능에서 발견됐다. 발견자는 앨린 엘리오비치(Aline Eliovich)라는 보안 전문가라고 하며, “이 취약점을 익스플로잇 하는 데 성공한 공격자는 원격에서 코드를 실행할 수 있다”고 아카마이는 경고했다. 이 취약점을 통해 퍼지고 있는 미라이 변종의 이름은 코로나미라이(Corona Mirai)다. 여기서 코로나는 지난 3~4년 동안 전 세계를 공포로 몰아넣었던 바로 그 코로나 바이러스의 이름에서 나온 것이다.
“이번 코로나미라이 캠페인은 CVE-2024-7029 취약점만 익스플로잇 하지 않습니다. 봇넷은 되도록 많은 장비를 편입시켜야 좋은 거니 여러 개의 취약점을 한꺼번에 노리고 있지요. 이번 캠페인에서 악용되는 것으로 분석된 취약점에는 하둡얀(Hadoop YARN)에서 발견된 CVE-2014-8361과 CVE-2017-17215도 있습니다. 대단히 오래된 취약점들이라는 공통점이 있죠. 사실 CVE-2024-7029도 마찬가지입니다.” 왜 아카마이는 CVE-2024-7029라는, 올해 발견되어 2024라는 넘버링이 붙은 취약점도 오래된 취약점이라고 하는 것일까?
CVE-2024-7029 취약점의 뿌리
이번 캠페인을 추적했을 때 아카마이는 “캠페인의 시작 시점은 올해 3월 18일인 것으로 보인다”고 발표했다. “하지만 CVE-2024-7029라는 취약점에 대한 개념 증명용 익스플로잇이 공개된 건 무려 2019년이라는 사실을 알게 됐습니다. 어쩌면 저희가 발견하지 못했을 뿐, 그 전부터 익스플로잇 코드가 돌아다니고 있었을 수도 있습니다. 어찌된 일일까요? 2019년 당시에는 이 취약점에 CVE 번호가 부여되지 않았습니다. 취약점은 거기 있었는데, 이름이 없었던 것이죠.”
이름이 없으니 이 취약점에 대한 정보가 뚜렷하게 전파되지도 않았고, 경고가 나와도 흐지부지 사라졌으며, 심지어 패치도 되지 않았다는 게 아카마이의 설명이다. “원래 CVE 번호가 할당되지 않은 취약점들은 관리가 잘 되지 않습니다. 그래서 알려지지도 않고, 경고도 되지 않으며, 쉬이 기억 속에서 사라지기도 합니다. 공격자들은 오히려 이런 취약점을 더 좋아하죠. 아무도 몰래 자기들끼리만 활용할 수 있게 되니까요.” CVE-2024-7029라는 번호가 붙은 건 이번 달의 일이다.
어떤 장비에 영향이 있는가?
아카마이는 에이브이테크의 CCTV 제품들 중 AVM1203 펌웨어 FullImg-1023-1007-1011-1009 버전과 그 이전 버전이 설치된 장비들에서 이 취약점이 발견되고 있다고 경고했다. 다행히 이 조건에 부합하는 장비들은 오래 전에 단종된 것들이고, 따라서 지금은 구매하기가 어렵다. “하지만 CCTV 사용자들의 특성상 오래된 장비들도 그대로 놔두는 경우가 태반이죠. 미국의 정보 보안 전담 기관인 CISA도 CVE-2024-7029에 대한 보안 경고문을 발표하면서 문제가 되는 CCTV 카메라들이 세계 곳곳에서 널리 사용되고 있다고 했을 정도입니다.”
공격자들이 이런 오래된 장비를 발견해 공격하기로 마음을 먹는다면, 원격 코드 실행 단계에까지 이를 수 있다고 아카마이는 설명한다. “공격자들은 이 취약점을 통해 자바스크립트 파일을 다운로드 해 실행했습니다. 이 자바스크립트는 다른 곳에서 진짜 멀웨어를 가져와 피해자 시스템에 심고요. 이 경우 ‘진짜 멀웨어’라는 건 코로나미라이를 말하죠.” 참고로 코로나미라이라는 변종은 이미 2020년에 처음 발견된 바 있다. 이번 캠페인을 두고 ‘공격자들이 제로데이 취약점을 통해 미라이 변종을 퍼트리고 있다’는 식의 보도가 이뤄지고 있는데, 한 겹 깊이 들어가면 오래된 취약점을 오래된 멀웨어가 파고들고 있는 사건에 더 가깝다는 걸 알 수 있다.
취약한 CCTV 장비에 안착한 코로나미라이는 23번, 2323번, 37215번 포트를 통해 대량의 호스트에 접속한다. 그런 다음 콘솔에 코로나(Corona)라는 문자열을 출력하기 시작한다. CVE-2014-8361과 CVE-2017-17215 취약점을 익스플로잇 한 후에도 비슷한 방법으로 움직인다고 아카마이는 경고했다. 어떤 취약점을 통해 들어가든 이번 코로나미라이는 결국 원격 호스트와의 연결부터 성립시킨다는 것이다.
CVE 번호의 중요성
“이번 캠페인은 대단히 중요한 것을 우리에게 상기시켜 줍니다. 공식 CVE 번호가 없는 취약점도 여전히 취약점이라는 사실입니다. 심지어 그 취약점이 실제 위협이 되기도 한다는 것도 중요한 교훈이죠. 공격자들은 잘 알려져서 익숙해진 취약점을 공략하기도 하지만, 아무도 몰라 방어할 수 없는 취약점도 늘 공격하고 싶어합니다. 이른 바 제로데이 취약점이 이런 맥락에서는 대표적인데, CVE-2024-7029처럼 ‘이름 없는’ 취약점도 비슷한 효과를 갖습니다. CVE 번호가 붙지 않은 취약점은 제로데이에 준하는 취약점으로 인식해야 합니다.”
세상에는 수많은 취약점이 존재한다. 적잖은 수가 CVE 번호를 받지 못한다. 그럼에도 누군가는 개념 증명용 익스플로잇을 만들어 공개한다. 이름이 없어 관리가 힘든 상태인데, 공격 방법만큼은 부지런히 개발된다는 의미다. “안타깝지만 그게 작금의 현실입니다. 이름 없는 취약점은 패치는 되지 않는데 익스플로잇은 된다는 것 말입니다. 이름이 붙은 취약점도 관리하기 힘든데, 그렇지 않은 취약점까지 관리하라는 게 얼마나 비현실적인 소리로 들리는 지도 압니다. 하지만 공격자들은 그런 사정을 봐주지 않는 것도 알아야 합니다. 이런 취약점들을 관리하기가 힘들다면, 해당되는 장비들을 잠시 꺼두는 것도 방법일 수 있습니다.”
3줄 요약
1. 한 CCTV 회사의 오래된 제품의 제로데이 취약점 통해 미라이 변종이 퍼짐.
2. 알고 보니 그 제로데이는 오래 전에 발견됐는데 CVE 번호가 붙질 않아 아무도 몰랐던 것.
3. CVE 번호 부여되지 않은 취약점도 요주의 대상.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
