상세 컨텐츠

본문 제목

CVE-2021-20090 취약점을 악용하는 활발한 공격, 전 세계 IoT 기기 수백만 대 노려

국내외 보안동향

by 알약4 2021. 8. 9. 09:00

본문

 

 

CVE-2021-20090 actively exploited to target millions of IoT devices worldwide

 

공격자가 Arcadyan 펌웨어가 설치된 홈 라우터에 Mirai 봇을 배포하기 위해 CVE-2021-20090으로 등록된 치명적인 인증 우회 취약점을 활발히 악용하고 있는 것으로 나타났습니다.

 

Tenable에서는 권고를 발행해 아래와 같이 경고했습니다.

 

“Buffalo WSR-2533DHPL2 펌웨어 버전 1.02 및 이하, WSR-2533DHP3 펌웨어 버전 1.24 및 이하에 존재하는 경로 탐색 취약점으로 인해 인증되지 않은 공격자가 원격으로 인증을 우회하도록 허용할 수 있습니다.”

 

이 취약점은 일부 IPS 포함 제조사 17곳 이상의 공급 업체에서 제조한 IoT 기기 수백만 대에 영향을 미칠 수 있습니다.

 

현재 진행 중인 공격은 Juniper Threat Labs의 연구원들이 발견했으며, 전문가들은 2월 이후 캠페인에서 IoT 기기를 노린 한 공격자가 수행한 것으로 추정 중입니다. 

 

Juniper의 전문가들은 분석을 발행해 아래와 같이 밝혔습니다.

 

“8월 5일, 우리는 중국의 후베이성 우한에 위치한 IP 주소에서 이 취약점을 악용하려 시도하는 공격 패턴을 확인했습니다. 공격자는 지난 3월 Palo Alto Networks에서 언급한 것과 이름이 유사한 스크립트를 사용하여 취약한 라우터에 Mirai 변종을 배포하려 시도하는 것으로 보입니다. 이 활동은 2월 18일부터 목격되었습니다. 유사한 점으로 미루어 볼 때 이 새로운 공격이 동일한 공격자의 소행이며, 새롭게 공개된 또 다른 취약점을 이용한 무기를 추가하려 시도하고 있음을 알 수 있습니다.”

 

Juniper Threat Labs에서 발견한 현재 진행 중인 공격은 지난 2월부터 네트워크 및 IoT 기기를 노리는 공격자의 활동을 모니터링하던 중 발견되었습니다.

 

전문가에 따르면, 공격자는 202166~723일 사이 아래 취약점을 악용하기 시작했습니다.

 

1.    CVE-2020-29557 (DLink 라우터)

2.    CVE-2021-1497CVE-2021-1498 (Cisco HyperFlex)

3.    CVE-2021-31755  (Tenda AC11)

4.    CVE-2021-22502 (MicroFocus OBR)

5.    CVE-2021-22506 (MicroFocus AM)

6.    CVE 번호가 없는 Exploit-db의 취약점 몇 가지

 

전문가들은 그들이 무기고에 새로운 익스플로잇을 계속해서 추가하고 있다고 지적했습니다.

 

Tenable의 연구원들은 아래와 같이 취약한 기기 목록을 공유했습니다.

 

ADSL wireless IAD router 1.26S-R-3P  
Arcadyan ARV7519 00.96.00.96.617ES
Arcadyan VRV9517 6.00.17 build04
Arcadyan VGV7519 3.01.116
Arcadyan VRV9518 1.01.00 build44
ASMAX BBR-4MG / SMC7908 ADSL 0.08
ASUS DSL-AC88U (Arc VRV9517) 1.10.05 build502
ASUS DSL-AC87VG (Arc VRV9510) 1.05.18 build305
ASUS DSL-AC3100 1.10.05 build503
ASUS DSL-AC68VG 5.00.08 build272
Beeline Smart Box Flash 1.00.13_beta4
British Telecom WE410443-SA 1.02.12 build02
Buffalo WSR-2533DHPL2 1.02
Buffalo WSR-2533DHP3 1.24
Buffalo BBR-4HG  
Buffalo BBR-4MG 2.08 Release 0002
Buffalo WSR-3200AX4S 1.1
Buffalo WSR-1166DHP2 1.15
Buffalo WXR-5700AX7S 1.11
Deutsche Telekom Speedport Smart 3 010137.4.8.001.0
HughesNet HT2000W 0.10.10
KPN ExperiaBox V10A (Arcadyan VRV9517) 5.00.48 build453
KPN VGV7519 3.01.116
O2 HomeBox 6441 1.01.36
Orange LiveBox Fibra (PRV3399) 00.96.00.96.617ES
Skinny Smart Modem (Arcadyan VRV9517) 6.00.16 build01
SparkNZ Smart Modem (Arcadyan VRV9517) 6.00.17 build04
Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM 1.01.00 build44
TelMex PRV33AC 1.31.005.0012
TelMex VRV7006  
Telstra Smart Modem Gen 2 (LH1000) 0.13.01r
Telus WiFi Hub (PRV65B444A-S-TS) v3.00.20
Telus NH20A 1.00.10debug build06
Verizon Fios G3100 1.5.0.10
Vodafone EasyBox 904 4.16
Vodafone EasyBox 903 30.05.714
Vodafone EasyBox 802 20.02.226

 

 

CVE-2021-20090 취약점은 Arcadyan의 펌웨어에 최소 10년 동안 존재했습니다.

 

연구원들은 이 공격자의 마지막 공격과 관련된 IoC 또한 공개했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120908/hacking/cve-2021-20090-iot-attacks.html

https://www.tenable.com/whitepapers/router-vuln-present-for-decade-why-iot-supply-chain-is-to-blame

https://www.tenable.com/cve/CVE-2021-20090

관련글 더보기

댓글 영역