상세 컨텐츠
본문
CVE-2021-20090 actively exploited to target millions of IoT devices worldwide
공격자가 Arcadyan 펌웨어가 설치된 홈 라우터에 Mirai 봇을 배포하기 위해 CVE-2021-20090으로 등록된 치명적인 인증 우회 취약점을 활발히 악용하고 있는 것으로 나타났습니다.
Tenable에서는 권고를 발행해 아래와 같이 경고했습니다.
“Buffalo WSR-2533DHPL2 펌웨어 버전 1.02 및 이하, WSR-2533DHP3 펌웨어 버전 1.24 및 이하에 존재하는 경로 탐색 취약점으로 인해 인증되지 않은 공격자가 원격으로 인증을 우회하도록 허용할 수 있습니다.”
이 취약점은 일부 IPS 포함 제조사 17곳 이상의 공급 업체에서 제조한 IoT 기기 수백만 대에 영향을 미칠 수 있습니다.
현재 진행 중인 공격은 Juniper Threat Labs의 연구원들이 발견했으며, 전문가들은 2월 이후 캠페인에서 IoT 기기를 노린 한 공격자가 수행한 것으로 추정 중입니다.
Juniper의 전문가들은 분석을 발행해 아래와 같이 밝혔습니다.
“8월 5일, 우리는 중국의 후베이성 우한에 위치한 IP 주소에서 이 취약점을 악용하려 시도하는 공격 패턴을 확인했습니다. 공격자는 지난 3월 Palo Alto Networks에서 언급한 것과 이름이 유사한 스크립트를 사용하여 취약한 라우터에 Mirai 변종을 배포하려 시도하는 것으로 보입니다. 이 활동은 2월 18일부터 목격되었습니다. 유사한 점으로 미루어 볼 때 이 새로운 공격이 동일한 공격자의 소행이며, 새롭게 공개된 또 다른 취약점을 이용한 무기를 추가하려 시도하고 있음을 알 수 있습니다.”
Juniper Threat Labs에서 발견한 현재 진행 중인 공격은 지난 2월부터 네트워크 및 IoT 기기를 노리는 공격자의 활동을 모니터링하던 중 발견되었습니다.
전문가에 따르면, 공격자는 2021년 6월 6일~7월 23일 사이 아래 취약점을 악용하기 시작했습니다.
1. CVE-2020-29557 (DLink 라우터)
2. CVE-2021-1497, CVE-2021-1498 (Cisco HyperFlex)
3. CVE-2021-31755 (Tenda AC11)
4. CVE-2021-22502 (MicroFocus OBR)
5. CVE-2021-22506 (MicroFocus AM)
6. CVE 번호가 없는 Exploit-db의 취약점 몇 가지
전문가들은 그들이 무기고에 새로운 익스플로잇을 계속해서 추가하고 있다고 지적했습니다.
Tenable의 연구원들은 아래와 같이 취약한 기기 목록을 공유했습니다.
| ADSL wireless IAD router | 1.26S-R-3P | |
| Arcadyan | ARV7519 | 00.96.00.96.617ES |
| Arcadyan | VRV9517 | 6.00.17 build04 |
| Arcadyan | VGV7519 | 3.01.116 |
| Arcadyan | VRV9518 | 1.01.00 build44 |
| ASMAX | BBR-4MG / SMC7908 ADSL | 0.08 |
| ASUS | DSL-AC88U (Arc VRV9517) | 1.10.05 build502 |
| ASUS | DSL-AC87VG (Arc VRV9510) | 1.05.18 build305 |
| ASUS | DSL-AC3100 | 1.10.05 build503 |
| ASUS | DSL-AC68VG | 5.00.08 build272 |
| Beeline | Smart Box Flash | 1.00.13_beta4 |
| British Telecom | WE410443-SA | 1.02.12 build02 |
| Buffalo | WSR-2533DHPL2 | 1.02 |
| Buffalo | WSR-2533DHP3 | 1.24 |
| Buffalo | BBR-4HG | |
| Buffalo | BBR-4MG | 2.08 Release 0002 |
| Buffalo | WSR-3200AX4S | 1.1 |
| Buffalo | WSR-1166DHP2 | 1.15 |
| Buffalo | WXR-5700AX7S | 1.11 |
| Deutsche Telekom | Speedport Smart 3 | 010137.4.8.001.0 |
| HughesNet | HT2000W | 0.10.10 |
| KPN | ExperiaBox V10A (Arcadyan VRV9517) | 5.00.48 build453 |
| KPN | VGV7519 | 3.01.116 |
| O2 | HomeBox 6441 | 1.01.36 |
| Orange | LiveBox Fibra (PRV3399) | 00.96.00.96.617ES |
| Skinny | Smart Modem (Arcadyan VRV9517) | 6.00.16 build01 |
| SparkNZ | Smart Modem (Arcadyan VRV9517) | 6.00.17 build04 |
| Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM | 1.01.00 build44 |
| TelMex | PRV33AC | 1.31.005.0012 |
| TelMex | VRV7006 | |
| Telstra | Smart Modem Gen 2 (LH1000) | 0.13.01r |
| Telus | WiFi Hub (PRV65B444A-S-TS) | v3.00.20 |
| Telus | NH20A | 1.00.10debug build06 |
| Verizon | Fios G3100 | 1.5.0.10 |
| Vodafone | EasyBox 904 | 4.16 |
| Vodafone | EasyBox 903 | 30.05.714 |
| Vodafone | EasyBox 802 | 20.02.226 |
CVE-2021-20090 취약점은 Arcadyan의 펌웨어에 최소 10년 동안 존재했습니다.
연구원들은 이 공격자의 마지막 공격과 관련된 IoC 또한 공개했습니다.
출처:
https://securityaffairs.co/wordpress/120908/hacking/cve-2021-20090-iot-attacks.html
https://www.tenable.com/whitepapers/router-vuln-present-for-decade-why-iot-supply-chain-is-to-blame
'국내외 보안동향' 카테고리의 다른 글
| VMware Workspace One Access과 Identity Manager의 치명적인 취약점 수정해 (0) | 2021.08.09 |
|---|---|
| Arcadyan 펌웨어에 존재하는 경로 조작 취약점(CVE-2021-20090) 주의! (0) | 2021.08.09 |
| BlackMatter의 리눅스 버전, VMware ESXi 서버 노려 (0) | 2021.08.06 |
| PrintNightmare 제로데이 취약점 관련 무료 비공식 패치 공개 (0) | 2021.08.06 |
| 패치되지 않은 취약점으로 Mitsubishi Safety PLC 원격 공격에 노출돼 (0) | 2021.08.06 |
댓글 영역