해커들, DrayTek 디바이스 중의 제로데이 취약점을 악용하여 기업들 공격

Hackers Exploit Zero-Day Bugs in Draytek Devices to Target Enterprise Networks

Netlab 보고서에 따르면, 최소 2개 이상의 해커그룹이 DrayTek의 두 개의 제로데이 원격 명령 인젝션 취약점(CVE-2020-8515)을 악용중이라고 밝혔습니다.

해당 취약점은 DrayTek Vigor 엔터프라이즈 스위치, 로드밸런서, 라우터 및 VPN 게이트웨이에 존재하며, 공격자는 해당 취약점을 악용하여 트래픽을 스니핑 할 수 있으며 백도어를 설치할 수 있습니다.

제로데이 공격은 작년 11월 말에서 12월 초 처음 시작되었으며, 수 천대의 최신 펌웨어가 설치되어 있지 않은 DrayTek 스위치, Vigor 2960, 3900, 300B 디바이스 등이 영향을 받았을 것으로 추정하고 있습니다. 지난달, DrayTek은 해당 취약점에 대한 보안패치를 발표하였습니다.

또 다른 연구원은 블로그에서 권한이 없는 원격의 공격자가 해당 제로데이 취약점을 악용하여 시스템 상에 임의의 명령을 인젝션 하고 실행하는 내용을 자세히 설명하였습니다.

<이미지 출처 : https://thehackernews.com/2020/03/draytek-network-hacking.html>

보고서에서는 “두 개의 제로데이 커멘드 명령어 인젝션 취약점 포인트는 keyPath와 rtick으로, 이는 /www/cgi-bin/mainfunction.cgi” 중에 위치하며, 대응하는 Web Server 프로그램은  /usr/sbin/lighttpd이다.”라고 밝히고 있습니다.

<이미지 출처 : https://thehackernews.com/2020/03/draytek-network-hacking.html>

 

NetLab 연구진은 아직 두 그룹을 특정하지 않았지만, 첫 번째 그룹은 단순히 네트워크 트래픽을 감시했지만 두 번째 공격 그룹은 rtick 커맨드 인젝션 취약점을 사용하여 다음을 생성했음을 확인했습니다.

the web-session backdoor that never expires,

SSH backdoor on TCP ports 22335 and 32459,

system backdoor account with user "wuwuhanhan" and password "caonimuqin.

참고로 최근에 패치 된 펌웨어를 설치했거나 지금 설치 한 경우 이미 설치된 백도어 계정이 자동으로 제거되지 않습니다.

"DrayTek Vigor 사용자는 적시에 펌웨어를 확인하고 업데이트하고 시스템에 tcpdump 프로세스, SSH 백도어 계정, 웹 세션 백도어 등이 있는지 확인하는 것이 좋습니다."

"라우터에서 원격 액세스를 활성화 한 경우 필요하지 않은 경우 이를 비활성화하고 가능하면 액세스 제어 목록을 사용하십시오"라고 회사는 제안합니다.

영향받는 펌웨어 버전

Vigor2960 <v1.5.1

Vigor300B <v1.5.1

Vigor3900 <v1.5.1

VigorSwitch20P2121 <= v2.3.2

VigorSwitch20G1280 <= v2.3.2

VigorSwitch20P1280 <= v2.3.2

VigorSwitch20G2280 <= v2.3.2

VigorSwitch20P2280 <= v2.3.2

출처 :

https://thehackernews.com/2020/03/draytek-network-hacking.html