에이아이스페라, 드레이텍 취약점 통한 공격 가능 유형과 보안 대응 노하우 공개
[보안뉴스 김영명 기자] 코로나19 팬데믹이 한창일 때 VPN이 가능한 가성비 라우터로 큰 인기를 구가했던 드레이텍(DrayTek) 라우터 취약점이 최근 포어스카우트(forescout) 리서치 보고서를 통해 알려졌다. 최초 취약점 발견 당시 여러 글로벌 매체에서 70만건의 드레이텍 라우터가 위협에 노출된 것으로 확인됐다. 한달이 지난 현재도 크리미널 IP(Criminal IP)로 확인했을 때 외부에 노출된 90만개 이상의 드레이텍 라우터가 발견됐다.
▲가장 심각한 취약점 CVE-2024-41592가 발견된 DrayTek VigorConnet[자료=DrayTek 홈페이지]
에이아이스페라는 드레이텍 취약점이 공개된지 한달이 넘었지만 아직 90만대 이상의 라우터가 여전히 위협에 노출돼 있는 것을 파악하고 이에 대해 분석했다. 이번에 발견된 90만대는 기존에 알려진 수치보다 20만대 이상 더 많은 수치다. 드레이텍 취약점으로 인해 발생할 수 있는 공격과 함께 위협헌팅 도구로 취약한 드레이텍 라우터를 탐지하는 방법을 살펴봤다.
드레이텍 취약점, 멀웨어 배포와 봇넷 활동에 악용되고 있어
이번에 발견된 드레이텍 취약점 중에는 CVSS 10점을 받은 취약점도 포함돼 더욱 문제가 됐다. CVE-2024-41592는 CVSS 10점 만점으로 심각 수준의 취약점으로 분류됐으며, 드레이텍 비거(DrayTek Vigor) 라우터의 웹 제어 인터페이스 드레이텍 비거 컨택트(DrayTek VigorConnect)에서 발견됐다.
CVE-2024-41592은 웹 제어 인터페이스를 구성하는 Web UI의 ‘GetCGI( )’ 함수 버퍼 오버플로 취약점으로, 쿼리 문자열 매개변수를 처리할 때 도스 공격을 실행하거나 같이 발견된 드레이텍 취약점 CVE-2024-41585와 연계해 호스트 운영체제에 대한 원격 루트 액세스 권한을 얻을 수 있다. 이러한 연계는 Vigor 3910와 Vigor 3912에만 영향을 미치는데, 이를 통해 공격자는 네트워크 정찰을 시도하고 멀웨어 배포 및 봇넷 활동을 시작할 수 있다.
취약한 드레이텍 라우터 95만여개, 전 세계 187개국 사용 중
현재는 11개 취약점에 대한 보안 패치가 진행된 상황이며, 모든 라우터 제품이 이번 취약점에 영향을 받는 것은 아니다. 하지만 최근 외부에 노출된 네트워크 장치 등 외부 공격 표면에 대한 공격 시도가 증가하는 만큼 펌웨어 보안 패치와 액세스 점검을 통해 예방하는 것이 중요하다.
에이아이스페라의 위협 인텔리전스 기반 위협헌팅 도구 크리미널 IP의 Asset Search로 드레이텍 장치가 운영되는 서버를 검색했을 때 올해 10월 28일을 기준으로 총 94만 9,055개의 드레이텍 장치가 발견됐다.
전 세계에서 확산 가능한 드레이텍 취약점을 살펴보면 이와 관련된 국가는 총 187개 국가가 탐지됐으며, 그 가운데 영국에서 38만 1,763개로 가장 많은 취약점이 탐지됐다. 이는 드레이텍 제품이 영국 내에서 널리 사용되고 있음을 시사한다. 그 뒤를 이어 베트남 15만 288개, 네덜란드 8만 4,214개, 대만 6만 6,389개, 오스트레일리아 3만 6,752개 순이다. 이를 통해 드레이텍 라우터 장치가 전 세계에서 사용되고 있다는 사실을 알 수 있으며, 심각도가 높은 취약점이 공개된 만큼 모든 국가에 시급한 보안 패치와 액세스에 대한 점검이 필요하다.
▲크리미널 IP 애셋 서치로 확인한 외부에 노출된 드레이텍 장치 검색 결과[자료=에이아이스페라]
드레이텍 취약점 노출, 패치 공개에도 업데이트 적용 미지수
검색된 드레이텍 비거 라우터를 사용 중인 IP 주소 가운데 한 IP 주소의 리포트를 확인했을 때 라우터 장치임을 알려주는 Switch 태그와 VPN 이슈 태그의 확인이 가능했다. 특히 해당 IP 주소는 443 포트의 Vigor Router SSL 인증서가 만료된 상태인 것으로 확인돼 제대로 관리되지 않는 취약한 상태임을 알 수 있다. 특히 7171 포트에서는 취약점이 발견된 드레이텍의 비거 라우터 로그인 페이지가 노출되고 있어 드레이텍 취약점에 영향을 받는 모델일 경우 공격대상이 될 수 있다.
현재 드레이텍은 Vigor 3910 버전 4.3.2.8과 4.4.3.1 버전의 경우 심각한 취약점인 CVE-2024-41592을 포함해 11종의 취약점 패치가 완료됐다. 다만 네트워크 장비의 경우 부족한 가시성으로 업데이트를 즉각 반영하지 못하는 경우가 많다. 이를 방지하기 위해 주기적으로 네트워크 장비에 대한 보안 업데이트를 확인하고 취약한 장비가 있는 경우 교체 검토를 통해 대비할 수 있다.
에이아이스페라 보안팀은 “취약한 드레이텍 라우터를 사용하는 경우에는 최신 펌웨어가 장치에 배포돼 있는지 확인한 후 업데이트를 진행하고, 장치 관리 인터페이스에서 포트 미러링 및 DNS 설정, 승인된 VPN 액세스 및 기타 설정이 변경되어 있지는 않은지 확인해야 한다”고 말했다. 이어 “또한 필요하지 않을 경우 원격 액세스를 비활성화하고, 제한된 사용자만 접근할 수 있도록 접근 제어목록 설정(ACL) 및 2단계 인증(2EA) 활성화를 통해 추가로 보안을 강화하는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>