IoT 기기 약 1억 대에 영향을 미치는 NAME:WRECK 취약점 발견

 

 

New NAME:WRECK Vulnerabilities Impact Nearly 100 Million IoT Devices

 

보안 연구원들이 TCP/IP 스택 4개에 영향을 미치는 취약점 9개를 발견했습니다. 이 취약점은 개인 및 기업용 기기 약 1억 대에 영향을 미치며, 악용될 경우 공격자가 취약한 시스템을 제어할 수 있게 됩니다.

 

이 취약점은 Forescout과 JSOF에서 “NAME:WRECK”이라 명명했습니다.

 

“이러한 취약점은 DNS 구현과 관련이 있기 때문에 서비스 거부(DoS), 원격 코드 실행(RCE)을 허용할 수 있어 공격자가 타깃 기기를 오프라인으로 전환하거나 이를 제어할 수 있습니다.”

 

이 취약점은 도메인명을 파싱하여 TCP/IP 스택의 구현을 중단(wreck)할 수 있다는 데서 명명되었습니다. 또한 최근 “인터넷 내 전화번호부”를 공격 벡터로 활용하는 SigRed, SAD DNS, DNSpooq와 같은 취약점이 증가하고 있는 추세입니다.

 

이 취약점은 IoT 기기 수백 대를 뒷받침하는 프로토콜 스택에 존재하는 5번째 취약점이 되었습니다.

 

- URGENT/11

- Ripple20

- AMNESIA:33

- NUMBER:JACK

 

 

<이미지 출처 : https://www.forescout.com/research-labs/namewreck/>

 

 

실제 시나리오 공격에서 공격자는 이 취약점을 악용하여 서버로 DNS 요청을 발행하는 인터넷에 노출된 기기를 통해 조직의 네트워크에 침투할 수 있는 방법을 찾거나 중요한 기기를 방해하기 위한 디딤돌로 사용할 수 있습니다.

 

IPnet을 제외하고 FreeBSD, Nucleus NET, NetX는 모두 패치를 공개한 상태입니다. 취약한 소프트웨어 버전을 사용하는 기기 공급 업체에서는 고객들에게 업데이트된 펌웨어를 제공해야합니다.

 

하지만 이전 취약점과 마찬가지로 수정사항을 적용하는데는 몇 가지 어려움이 있습니다. 기기에서 실행되는 TCP/IP 스택에 대한 정보 부족, 기기가 중앙에서 관리되지 않아 패치를 전달하는데 어려움, 미션 크리티컬 프로세스에서 핵심적인 역할을 맡고 있어 오프라인 상태로 전환할 수 없는 경우 등입니다.

 

즉 보안 패치가 스택 공급 업체에서 기기 펌웨어로 전달되기 까지 취약한 기기를 모두 식별해내는 작업 이외에도 상당한 시간이 소요될 수 있다는 것입니다.

 

또한 경우에 따라 패치를 푸시하는 것 자체가 불가능할 수 있으며, 따라서 취약한 많은 기기가 향후 수년 동안 또는 폐기되기 전까지 공격에 노출된 가능성이 높습니다.

 

빠른 수정은 힘들겠지만 다행인 점은 이 취약점을 악용하려는 시도를 쉽게 탐지해낼 수 있는 완화조치가 있다는 사실입니다.

 

Forescout는 취약한 스택을 실행하는 기기를 탐지할 수 있는 오픈소스 스크립트를 공개했습니다.

 

또한 연구원들은 패치가 준비되기 전까지 네트워크 세분화 제어를 시행하고 DNS, mDNS, DHCP 클라이언트를 노리는 취약점을 악용하려 시도하는 악성 패킷에 대한 모든 네트워크 트래픽을 모니터링할 것을 권장했습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/new-namewreck-vulnerabilities-impact.html

https://www.forescout.com/research-labs/namewreck/

https://www.forescout.com/company/blog/forescout-and-jsof-disclose-new-dns-vulnerabilities-impacting-millions-of-enterprise-and-consumer-devices/