2024-03-28 20:55 (목)
해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의
상태바
해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의
  • 길민권 기자
  • 승인 2018.05.22 13:25
이 기사를 공유합니다

"가짜 DNS 서버는 38.134.121.95...이 주소를 보게 된다면 라우터 해킹 된 것”

cat-3043890_640.jpg
드레이텍(DrayTek) 라우터에서 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수 있는 제로데이 취약점이 발견 되어 사용자들의 주의가 요구된다.

드레이텍은 해커들이 이미 이 취약점을 악용해 라우터를 해킹하려는 시도를 하고 있음을 인지하고 있다고 밝혔다.

많은 사용자들이 트위터에 이 라우터에 가해지는 사이버공격에 대해 제보했다. 해커들은 차이나 텔레콤(China Telecom)의 네트워크상의 IP 주소인 38.134.121.95를 가진 서버를 가리키도록 라우터의 DNS 설정을 변경했다.

이는 공격자가 중간자 공격을 실행해 사용자들을 정식 사이트를 복제한 악성 사이트로 이동시켜 사용자들의 크리덴셜을 훔치려고 시도한 것으로 볼 수 있다.

회사 측은 보안 공지를 통해 “2018년 5월, 드레이텍 라우터들을 포함한 웹 지원 기기들을 대상으로 하는 새로운 공격에 대해 알게 되었다. 최근 발생하는 이 공격은 라우터의 DNS 설정을 변경하려고 시도다”라고 밝히고 “다수의 LAN 서브넷을 지원하는 라우터를 가지고 있다면, 각각의 서브넷에 대한 설정을 확인하시기 바란다. DNS 설정은 빈칸이거나, ISP로부터의 올바른 DNS 서버 주소 또는 당신이 의도적으로 설정한 서버의 DNS 서버 주소로 설정 되어있어야 한다. 알려진 가짜 DNS 서버는 38.134.121.95다. 만약 이 주소를 보게 된다면 라우터가 변경 된 것”이라고 주의를 당부했다.

회사는 이 문제를 패치하기 위한 펌웨어 업데이트를 준비 중이라고 밝히고 드레이텍은 기기의 모델 및 앞으로 출시할 펌웨어 버전의 목록을 공개했다.

초기에는 피해자들이 드레이텍 라우터의 디폴트 크리덴셜을 사용하고 있는 것으로 의심했지만, 그 중 한명이 디폴트 세팅을 사용하지 않았다고 밝혔다. 따라서 공격자들이 제로데이 취약점을 악용하는 공격을 수행하고 있음을 알 수 있다.

쇼단을 통해 온라인에 노출 된 드레이텍 라우터를 검색 결과, 80만대 이상의 기기들이 온라인에 연결 되어 있었으며 이들 중 일부는 이 익스플로잇으로 인해 손상 되었을 것이다. [보안정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★