2024-03-29 23:15 (금)
GPON 라우터 취약점 악용하고 있는 강력한 봇넷 5개...수백만 사용자 위험
상태바
GPON 라우터 취약점 악용하고 있는 강력한 봇넷 5개...수백만 사용자 위험
  • 길민권 기자
  • 승인 2018.05.15 02:36
이 기사를 공유합니다

GPON 라우터 취약점 PoC 익스플로잇 공개...초보 해커들도 쉽게 악용 가능

cisco-1.jpg
GPON 라우터의 치명적 취약점 2개가 공개 된지 10일 만에 최소 5개의 봇넷들이 이 취약점을 악용해 수 백만 기기로 이루어진 봇넷 군단을 구성한 것으로 조사됐다.

해외 보안 연구원들은 봇넷 패밀리 5개(Mettle, Muhstik, Mirai, Hajime, Satori)가 GPON 익스플로잇을 실제 공격에 사용한다는 사실을 발견했다.

얼마 전 한국 다산 존 솔루션에서 제조한 GPON(Gigabit-capable Passive Optical Network) 라우터들이 인증 우회(CVE-2018-10561) 및 root-RCE(CVE-2018-10562)에 취약해 원격 공격자들이 기기를 완전히 제어할 수 있다는 내용이 공개됐다.

취약점에 대한 자세한 정보가 공개 된 후, 보안연구원들은 공격자들이 취약한 라우터를 하이재킹해 봇넷 악성 네트워크에 추가시키기 위해 이 결점 두 개를 악용하고 있다고 경고했다.

그리고 아래 봇넷 패밀리 5개가 이 문제를 악용하고 있다는 보고서를 발표했다.

△Mettle 봇넷

이 봇넷의 C&C 패널과 스캐너는 베트남에 있는 서버에서 호스팅 된다. 공격자들은 오픈 소스 Mettle 공격 모듈을 활용해 취약한 라우터에 악성코드를 설치해왔다.

△Muhstik 봇넷

이 봇넷은 지난 주 발견 되었으며, 치명적인 Drupal 결점을 적극적으로 악용했다. 최신 버전의 Muhstik은 GPON 및 JBOSS, DD-WRT 펌웨어의 취약점을 악용하도록 업그레이드 되었다.

△Mirai 봇넷(새로운 변종)

GPON 익스플로잇이 (다른 해킹 그룹이 운영하는) 악명높은 Mirai IoT 봇넷의 새로운 변종들에도 추가되었다. 이 봇넷은 기록적인 DDoS 공격을 실행한 후 2016년 처음 공개되고 오픈소스화 되었다.

△Hajime 봇넷

또 다른 악명높은 IoT 봇넷인 Hajime는 수 십만대의 홈 라우터를 공격하기 위해 코드에 GPON 익스플로잇을 추가한 것으로 나타났다.

△Satori 봇넷

Satori(Okiru로도 알려짐)는 작년 단 12시간 내에 260,000대의 기기를 감염시킨 악명높은 봇넷이다. 이 봇넷도 최신 변종에 GPON 익스플로잇을 추가한 것으로 나타났다.

이 GPON 취약점을 발견한 연구원들은 라우터의 제조사에 문제를 제보했지만, 회사는 아직까지 패치를 발표하지 않았다. 또한 연구원들은 아직까지도 패치가 개발 중이 아닌 것으로 추측하고 있어 수백만 명의 고객들이 이러한 봇넷의 공격에 노출되고 있다고 경고했다.

더불어 실제로 동작하는 GPON 라우터 취약점 PoC 익스플로잇이 이미 공개 되어 초보 해커들도 쉽게 악용이 가능하게 되었다는 점이다.

따라서 회사에서 공식 패치를 공개할 때 까지 사용자는 원격 관리 권한을 비활성화 하고, 방화벽을 사용해 공용 인터넷으로부터의 외부 접근을 방지해 기기를 보호해야 한다. (보안정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★