2020-11-24 04:20 (화)
30여개 DVR 브랜드에 치명적 취약점 발견…미라이 봇넷으로 영구 이용될 수 있어
상태바
30여개 DVR 브랜드에 치명적 취약점 발견…미라이 봇넷으로 영구 이용될 수 있어
  • 길민권 기자
  • 승인 2017.07.01 16:04
이 기사를 공유합니다

취약점이 공개되면 제거할 수 없는 버전의 미라이 봇넷이 생성될 수 있어 위험

n-4.jpg
PenTest Partners연구원은 30여개 DVR(Digital Video Recorder)브랜드를 연구한 후 새로운 취약점을 발견했다.

중국 보안위협정보 제공 전문기업 씨엔시큐리티(대표 류승우) 외신정보에 따르면, 해당 취약점은 미라이(Mirai) 사물인터넷 윔 또는 기타 사물인터넷 멀웨어가 기기가 재가동되는 시간에도 생존하도록 허용할 수 있다고 전했다.

이에 따라, 영구적으로 사물인터넷 봇넷을 생성하는 것이 허용된다.

이러한 취약점이 공개되면 미라이의 영속성을 연장시켜 제거할 수 없는 버전의 미라이 봇넷이 생성될 수 있기 때문에 세부사항은 공개하지 않기로 했다.

펜테스트팀은 탐색에 그치지 않고, 미라이에의해 관련 멀웨어로 변하는 기타 취약점과 세부사항을 발견했다.

발생 가능한 위협은 다음과 같다.

△새로운 DVR의 기본 로그인 인증서에는 미라이가 내장된 모듈(기본관리자로그인 인증서를 사용해 텔넷(Telnet)포트를 통해 새로운 기기에 공격을 확산시킬 수 있음)을 추가할 수 있다.

△일부 DVR은 비표준 텔넷 포트 12323를 이용해 표준 텔넷 포트23를 대체포트로 삼을 수 있다.

△“admin/[빈암호]”와 “admin/123456” 가진 로그인 인증을 9527포트를 통해 인증을 진행 시, 일부 DVR브랜드 상에는 원격 쉘(Shell)이 존재한다.

△변경한 암호를 사용하는 DVR브랜드는 파일증명에서 온라인에 암호를 공개했다.

△100만대 이상의 네트워킹된 DVR펌웨어에는 버퍼 오버플로우 취약점이 존재한다. 80포트는 DVR의 내장 네트워크서버이며, 해당 취약점은 80포트를 통해 이용될 수 있다. 대다수 기기는 기본적으로 이 서버를 개방하여, 사용자가 DVR를 원격으로 관리하는 것을 허용한다.

△디렉터리 접근취약점은 공격자가 원격에서 DVR의 암호해시를 복구하는 것을 허용한다.

만약 모든 이러한 취약점이 이용되면, 공격자는 “새로운 생명”에 미라이를 심을 수 있다.

미라이 사물인터넷 멀웨어는 서서히 소강상태를 보이며, 그 자리는 새로운 윔 바이러스(예: Persirai, BrickerBot, Hajime)으로 대체되고 있다.

제조업체들은 향후 사물인터넷 보안을 위해 공동으로 노력해 나아가기로 하였다. 예를 들어, 지난 주 다화 테크놀로지는 기기 펌웨어 보안개선을 목적으로 Synopsys Solutions네트워크보안회사와 협력한다고 발표했다.

작년 10월, 雄迈科技(xiongmaitech)의 기기가 해커에 의해 크래킹 되어, 불법적으로 사용되 미국 동부해안의 DDoS 공격에 사용되면서 네트워크 장애를 일으켰다.

당시 주요 인터넷 웹사이트 모두는 큰 규모의 공격을 당했다. 트위터 및 페이팔의 서비스가 지연되고 한때 업무마비까지 초래했다. 이 사건에서 미라이는 최소 50만대 기기를 감염시켜 대규모 DDoS 공격을 실행시켰다.

이번에도 여전히 雄迈科技(xiongmaitech)과 관련 있었다.

대다수 미라이 공격에 쉽게 당하는 DVR은 雄迈科技(xiongmaitech)가 판매한 “화이트라벨”의 DVR이었다. 펜테스트연구팀은 雄迈科技(xiongmaitech)의 제작능력 부족으로 생산시스템에서 기본 로그인 인증 취약점이 초래되었다고 분석했다.

이것이 미라이 문제의 근본적인 문제이다. 이 때문에 사용자는 강력한 암호를 설정해 기기를 보호하거나 기기 앞에 방화화벽의 배치가 필요하다.

★정보보안 대표 미디어 데일리시큐!★