고정 헤더 영역
상세 컨텐츠
본문
New botnet targets network security devices with critical exploits
새로운 봇넷의 제작자들이 치명적인 취약점이 패치되지 않은 기기를 노리고 있는 것으로 나타났습니다. 이 기기 중 일부는 네트워크 보안 장비였습니다.
공격은 여전히 활성화된 상태이며, 공개적으로 얻을 수 있는 익스플로잇을 사용합니다. 일부는 익스플로잇이 게시된 후 채 몇 시간이 지나지 않아 이를 악용한 사례도 있었습니다. 익스플로잇 코드는 지금까지 취약점 최소 10개를 악용했으며, 가장 최근 취약점은 지난 주말에 추가되었습니다.
이전 및 최근 취약점 악용
성공적으로 해킹된 기기는 해당 기기의 아키텍처에 맞는 Mirai 봇넷 변종에 감염됩니다.
2월 중순, Palo Alto Networks Unit 42의 보안 연구원은 이 봇넷의 공격을 발견하고 활동을 추적하기 시작했습니다.
이 봇넷 운영자가 취약점 10개의 익스플로잇을 통합하는데 약 한 달이 소요되었습니다. 이 취약점 중 대부분이 치명적으로 분류되었으며, 다양한 타깃을 노립니다.
이 중 하나는 수 년 전 수정된 SonicWall SSL-VPN에 존재하는 원격 명령 주입 취약점인 VisualDoor입니다.
또한 Vertica의 Micro Focus OBR(Operation Bridge Reporter) 제품에 존재하는 원격 코드 실행 취약점인 CVE-2021-22502와 같이 최근 발견된 익스플로잇 또한 공격에 악용되었습니다.
OBR은 다른 기업 소프트웨어로부터 성능 보고서를 작성하기 위해 빅 데이터 기술을 사용합니다.
이 공격에 악용된 다른 두 치명적인 취약점은 Yealink Device Management에 존재하는 CVE-2021-27561, CVE-2021-27562입니다.
사용자 제공 데이터가 제대로 필터링되지 않기 때문에 인증되지 않은 공격자가 루트 권한으로 서버에서 임의 명령을 실행하는 것이 가능합니다.
Unit42의 연구원들은 공격자가 악용한 세 가지 취약점이 아직까지 밝혀지지 않았다고 밝혔습니다. 아래는 이 공격에 악용되는 취약점의 목록입니다.
|
ID |
취약점 |
설명 |
심각도 |
|
1 |
VisualDoor |
SonicWall SSL-VPN 원격 명령 인젝션 취약점 |
치명적인 심각도 |
|
2 |
D-Link DNS-320 방화벽 원격 명령 실행 취약점 |
치명적인 심각도, 9.8/10 |
|
|
3 |
CVE-2021-27561, CVE-2021-27562 |
Yealink Device Management 선정의 루트 수준 원격 코드 실행 취약점 |
치명적인 심각도 |
|
4 |
CVE-2021-22502 |
Micro Focus Operation Bridge Reporter (OBR) 버전 10.40에 존재하는 원격 코드 실행 취약점 |
치명적인 심각도, 9.8/10 |
|
5 |
Netis2419 무선 라우터 원격 코드 실행 취약점 |
높은 심각도, 7.5/10 |
|
|
6 |
Netgear ProSAFE Plus 인증되지 않은 원격 코드 실행 취약점 |
치명적인 심각도, 9.8/10 |
|
|
7 |
밝혀지지 않음 |
알려지지 않은 타깃에 대한 원격 코드 실행 취약점 |
알려지지 않음 |
|
8 |
밝혀지지 않음 |
알려지지 않은 타깃에 대한 원격 코드 실행 취약점 |
알려지지 않음 |
|
9 |
알려지지 않은 취약점 |
예전에는 Moobot 으로 알려진 취약점이나, 아직까지 명확한 타깃은 알려지지 않음 |
알려지지 않음 |
공격자는 기기를 성공적으로 해킹한 후 작업 예약, 필터 규칙 생성, 브루트포스 공격 실행, 봇넷 악성코드 전파를 위한 다양한 바이너리를 드롭했습니다.
- lolol.sh: 아키텍쳐 특정 다크 바이너리 다운로드 및 실행; 스크립트 재실행 위한 작업 예약 및 SSH, HTTP, telnet용 일반 포트를 통해 유입되는 연결을 차단하는 트래픽 룰 생성
- install.sh: ‘zmap' 네트워크 스캐너 설치, GoLang 및 zmap이 발견한 IP에 브루트포싱 공격을 위한 파일 다운로드
- nbrute.[arch]: 브루트포싱 공격을 위한 바이너리
- combo.txt: 브루트포싱 공격에 사용될 크리덴셜 텍스트파일
- dark.[arch]: 익스플로잇을 통한 전파 또는 브루트포싱에 사용되는 Mirai 기반 바이너리
출처:
https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/
'안전한 PC&모바일 세상 > 국내외 보안동향' 카테고리의 다른 글
| 새로운 ZHtrap 봇넷, 허니팟 통해 더 많은 피해자 찾아 (0) | 2021.03.18 |
|---|---|
| Magecart 해커들, 신용카드 데이터를 JPG 파일 내부에 숨겨 (0) | 2021.03.17 |
| Blender 웹사이트, 해킹 시도 겪은 이후 여전히 점검 중 (1) | 2021.03.16 |
| 구글, 1월부터 활발히 악용되어 온 크롬의 세 번째 제로데이 취약점 수정 (0) | 2021.03.16 |
| NETGEAR JGS516PE 스위치에서 취약점 15개 발견 (0) | 2021.03.15 |
댓글 영역