포스팅 내용

국내외 보안동향

강력한 봇넷 5개, 패치 되지 않은 GPON 라우터의 취약점을 악용하고 있는 것으로 나타나

5 Powerful Botnets Found Exploiting Unpatched GPON Router Flaws


GPON 라우터의 치명적인 취약점 2개가 공개 된지 단 10일 만에, 최소 5개의 봇 패밀리들이 이 결점을 악용해 수 백만 기기로 이루어진 군대를 만든 것으로 나타났습니다. 


(▶ 다산의 GPON 라우터를 원격 해킹으로부터 보호하기 위한 간단한 툴 공개 돼)


보안 연구원들은 봇넷 패밀리 5개(Mettle, Muhstik, Mirai, Hajime, Satori)가 GPON 익스플로잇을 실제 공격에 사용한다는 사실을 발견했습니다.


이전에 보도했듯이, 한국의 업체인 다산 존 솔루션에서 제조한 GPON(Gigabit-capable Passive Optical Network) 라우터들이 인증 우회 (CVE-2018-10561) 및 root-RCE (CVE-2018-10562) 에 취약해 원격의 공격자들이 기기를 온전히 제어할 수 있습니다.


취약점에 대한 자세한 정보가 공개 된 후, 연구원들은 공격자들이 취약한 라우터를 하이잭해 봇넷 악성 네트워크에 추가시키기 위해 이 결점 두 개를 악용하고 있다고 경고했었습니다.


그리고, 아래 봇넷 패밀리 5개가 이 문제를 악용하고 있다는 보고서를 발표했습니다.


Mettle 봇넷

이 봇넷의 C&C 패널과 스캐너는 베트남에 있는 서버에서 호스팅 됩니다. 공격자들은 오픈 소스 Mettle 공격 모듈을 활용해 취약한 라우터에 악성코드를 설치해왔습니다.


Muhstik 봇넷

이 봇넷은 지난 주 발견 되었으며, 치명적인 Drupal 결점을 적극적으로 악용했었습니다. 최신 버전의 Muhstik은 GPON 및 JBOSS, DD-WRT 펌웨어의 취약점을 악용하도록 업그레이드 되었습니다.


Mirai 봇넷(새로운 변종)

GPON 익스플로잇이 (다른 해킹 그룹이 운영하는) 악명높은 Mirai IoT 봇넷의 새로운 변종들에도 추가되었습니다. 이 봇넷은 기록적인 DDoS 공격을 실행한 후 2016년 처음 공개되고 오픈소스화 되었습니다.


Hajime 봇넷

또 다른 악명높은 IoT 봇넷인 Hajime는 수 십만대의 홈 라우터를 공격하기 위해 코드에 GPON 익스플로잇을 추가한 것으로 나타났습니다.


Satori 봇넷

Satori(Okiru로도 알려짐)는 작년 단 12시간 내에 260,000대의 기기를 감염시킨 악명높은 봇넷입니다. 이 봇넷도 최신 변종에 GPON 익스플로잇을 추가한 것으로 나타났습니다.


이 GPON 취약점을 발견한 연구원들은 라우터의 제조사에 문제를 제보했지만, 회사는 아직까지 패치를 발표하지 않았습니다. 또한 연구원들은 아직까지도 패치가 개발 중이 아닌 것으로 추측하고 있어, 수 백만명의 고객들이 이러한 봇넷의 공격에 노출되었습니다.


더욱 우려스러운 점은, 실제로 동작하는 GPON 라우터 취약점의 PoC 익스플로잇이 이미 공개 되어 초보 해커들도 쉽게 악용이 가능하게 되었다는 것입니다.


따라서, 회사에서 공식 패치를 공개할 때 까지 사용자는 원격 관리 권한을 비활성화 하고, 방화벽을 사용해 공용 인터넷으로부터의 외부 접근을 방지해 기기를 보호해야 합니다.





출처 :

https://thehackernews.com/2018/05/botnet-malware-hacking.html



티스토리 방명록 작성
name password homepage