2024-03-29 17:40 (금)
[긴급] 사토리 봇넷, 한국 공유기의 패치안된 RCE 취약점 공격...피해 확산 중
상태바
[긴급] 사토리 봇넷, 한국 공유기의 패치안된 RCE 취약점 공격...피해 확산 중
  • 길민권 기자
  • 승인 2018.07.02 17:27
이 기사를 공유합니다

5월에 이미 24만대 공유기 감염...사용자 상호작용 없이도 감염 확대되고 있어

hacker-2851143_640.jpg
각 제조사의 무선공유기를 연이어 침입했던 사토리(Satori) 봇넷이 또다시 활동을 시작한 것으로 드러났다.

중국 보안기업 치후360은 또다시 디링크(D-Link)와 기타 중국 제품에서 사토리의 활동을 발견했다고 최근 경고했다.

미라이(Mirai) 변종인 사토리(Satori)는 치후 넷랩 360연구센터에서 2017년 11월 최초 발견했다. 같은 해 12월 사토리가 2주만에 감염시킨 10만대의 loT 장치중 약 9만대가 화웨이 가정용 공유기였다고 밝혔다.

한편 치후 360에 따르면, 올해 2월 사토리는 한국 D사의 가정용 공유기 취약점을 통해 4만여대 장치를 해킹한 것으로 조사됐다고 전했다.

뒤이어 5월에는 한국 D사 공유기 취약점 두 개가 사토리 등 악성프로그램 5개를 유발해 최소 24만대 이상의 공유기를 감염시켰다고 발표했다.

또 지난 6월 14일, 360 측은 사토리 봇넷이 네트워크를 스캔하기 시작했으며, 중국 제조업체 XiongMai uc-httpd 1.0.0(CVE-2018-10088) 버퍼 오버플로우 취약점을 통해 공격을 시도한다는 사실을 발견했다. 해당 스캔활동은 80, 8000, 8080 포트에서 대량 트래픽을 발생시키는 것으로 밝혀졌다.

이어 이틀 뒤, 사토리 봇넷은 새로운 변종을 내보내며, 타깃을 D사 가정용 무선공유기로 전환했다고 밝히고 이번 웜 바이러스는 자체 복제가 가능하며 사용자의 어떠한 상호작용이 없이도 네트워크 장치를 감염시킨다고 전했다.

또한 360 연구원은 네트워크에 연결 된 장치에서 uc-httpd 1.0.0의 IP주소, 공격진원지뿐만 아니라 DDoS능력을 갖춘 사토리 변종이 6월에만 최소 두 번의 DDoS공격을 일으킨 사실도 공개했다.

사토리 봇넷이 D사 공유기에 침입한 후, 전세계를 대상으로 한 공격 트래픽이 24시간 내 빠르게 상승했고 최대 2천500개 이상의 공격진원지가 발생한 것이다.

D사 공유기 제품에 대한 사토리 변종샘플 분석에 따르면 사토리 공격은 D사의 RCE취약점에 의해 비롯된 것으로 드러났다.

정보보호 인텔리전스 전문기업 씨엔시큐리티 측은 "RCE 취약점은 wget 명령을 일으키고 185.62.190.191 서버에서 원격스크립트 프로그램을 다운로드 한다. 국가별로 보면 이번 공격에 영향을 입은 D사 특정 공유기 제품은 브라질, 한국 및 이탈리아 등지에 가장 많이 사용하고 있다"며 "이번 RCE 취약점은 2016년에 이미 공개되어 D사 제품시스템 1.01부터 1.03버전에 영향을 주지만 현재까지 패치되지 않았다. 사용자들의 각별한 주의가 요구된다"고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★