Mirai 봇넷 변종, 치명적인 익스플로잇 통해 보안 장비들 공격해

 

 

New botnet targets network security devices with critical exploits

 

새로운 봇넷의 제작자들이 치명적인 취약점이 패치되지 않은 기기를 노리고 있는 것으로 나타났습니다. 이 기기 중 일부는 네트워크 보안 장비였습니다.

 

공격은 여전히 활성화된 상태이며, 공개적으로 얻을 수 있는 익스플로잇을 사용합니다. 일부는 익스플로잇이 게시된 후 채 몇 시간이 지나지 않아 이를 악용한 사례도 있었습니다. 익스플로잇 코드는 지금까지 취약점 최소 10개를 악용했으며, 가장 최근 취약점은 지난 주말에 추가되었습니다.

 

이전 및 최근 취약점 악용

 

성공적으로 해킹된 기기는 해당 기기의 아키텍처에 맞는 Mirai 봇넷 변종에 감염됩니다.

 

2월 중순, Palo Alto Networks Unit 42의 보안 연구원은 이 봇넷의 공격을 발견하고 활동을 추적하기 시작했습니다.

 

이 봇넷 운영자가 취약점 10개의 익스플로잇을 통합하는데 약 한 달이 소요되었습니다. 이 취약점 중 대부분이 치명적으로 분류되었으며, 다양한 타깃을 노립니다.

 

이 중 하나는 수 년 전 수정된 SonicWall SSL-VPN에 존재하는 원격 명령 주입 취약점인 VisualDoor입니다.

 

또한 Vertica의 Micro Focus OBR(Operation Bridge Reporter) 제품에 존재하는 원격 코드 실행 취약점인 CVE-2021-22502와 같이 최근 발견된 익스플로잇 또한 공격에 악용되었습니다.

 

OBR은 다른 기업 소프트웨어로부터 성능 보고서를 작성하기 위해 빅 데이터 기술을 사용합니다.

 

이 공격에 악용된 다른 두 치명적인 취약점은 Yealink Device Management에 존재하는 CVE-2021-27561, CVE-2021-27562입니다.

 

사용자 제공 데이터가 제대로 필터링되지 않기 때문에 인증되지 않은 공격자가 루트 권한으로 서버에서 임의 명령을 실행하는 것이 가능합니다.

 

Unit42의 연구원들은 공격자가 악용한 세 가지 취약점이 아직까지 밝혀지지 않았다고 밝혔습니다. 아래는 이 공격에 악용되는 취약점의 목록입니다.

 

 

ID	취약점	설명	심각도
1	VisualDoor	SonicWall SSL-VPN 원격 명령 인젝션 취약점	치명적인 심각도
2	CVE-2020-25506	D-Link DNS-320 방화벽 원격 명령 실행 취약점	치명적인 심각도, 9.8/10
3	CVE-2021-27561, CVE-2021-27562	Yealink Device Management 선정의 루트 수준 원격 코드 실행 취약점	치명적인 심각도
4	CVE-2021-22502	Micro Focus Operation Bridge Reporter (OBR) 버전 10.40에 존재하는 원격 코드 실행 취약점	치명적인 심각도, 9.8/10
5	CVE-2019-19356	Netis2419 무선 라우터 원격 코드 실행 취약점	높은 심각도, 7.5/10
6	CVE-2020-26919	Netgear ProSAFE Plus 인증되지 않은 원격 코드 실행 취약점	치명적인 심각도, 9.8/10
7	밝혀지지 않음	알려지지 않은 타깃에 대한 원격 코드 실행 취약점	알려지지 않음
8	밝혀지지 않음	알려지지 않은 타깃에 대한 원격 코드 실행 취약점	알려지지 않음
9	알려지지 않은 취약점	예전에는 Moobot 으로 알려진 취약점이나, 아직까지 명확한 타깃은 알려지지 않음	알려지지 않음

 

 

공격자는 기기를 성공적으로 해킹한 후 작업 예약, 필터 규칙 생성, 브루트포스 공격 실행, 봇넷 악성코드 전파를 위한 다양한 바이너리를 드롭했습니다.

 

- lolol.sh: 아키텍쳐 특정 다크 바이너리 다운로드 및 실행; 스크립트 재실행 위한 작업 예약 및 SSH, HTTP, telnet용 일반 포트를 통해 유입되는 연결을 차단하는 트래픽 룰 생성
- install.sh: ‘zmap' 네트워크 스캐너 설치, GoLang 및 zmap이 발견한 IP에 브루트포싱 공격을 위한 파일 다운로드
- nbrute.[arch]: 브루트포싱 공격을 위한 바이너리
- combo.txt: 브루트포싱 공격에 사용될 크리덴셜 텍스트파일
- dark.[arch]: 익스플로잇을 통한 전파 또는 브루트포싱에 사용되는 Mirai 기반 바이너리

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/

https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/