Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향적극적으로 악용된 버그, 수백만 개의 라우터에서 인증 우회
작성일 2021-08-09 조회 2396

 

 

위협 행위자는 Arcadyan 펌웨어가 있는 홈 라우터에 영향을 미치는 중요한 인증 우회 취약점을 적극적으로 악용하여 Mirai 봇넷 악성 페이로드를 장악하고 배포한다.


CVE-2021-20090으로 추적된 취약성은 인증되지 않은 원격 공격자가 인증을 우회할 수 있도록 허용할 수 있는 Arcadyan 펌웨어를 사용하는 라우터의 웹 인터페이스에서 중요한 경로 탐색 취약성(등급 9.9/10)이다.


현재 진행중인 공격은 Juniper Threat Labs 연구원들이 지난 2월부터 네트워크와 IoT 기기를 목표로 하는 것으로 알려진 위협 행위자의 활동을 관찰하던 중에 발견되었다.


취약한 장치에는 Asus, British Telecom, Deutsche Telekom, Orange, O2(Telefonica), Verizon, Vodafone, Telstra 및 Telus를 비롯한 여러 공급업체 및 ISP의 수십 가지 라우터 모델이 포함된다.


라우터 모델의 수와 이 버그에 의해 영향을 받는 벤더의 긴 리스트에 기반으로 볼 때 공격에 노출된 총 장치 수는 수백만 개의 라우터에 도달할 가능성이 있다.


보안 결함은 Tenable에 의해 발견되었으며  4월 26일 보안 권고를 발표하고, 8월 3일 화요일에 개념 증명 익스플로잇 코드를 추가했다.


Tenable 연구 엔지니어는 "Arcadyan 펌웨어의 취약점은 최소 10년 동안 존재해왔고 이에 따라 공급망을 통해 17개 공급업체의 최소 20개 모델로 확산되었고, 이는 Tenable이 발표한 백서에서 다루고 있다."고 설명했다.

 

 

 

[그림 1. 공격 시연 트위터 게시물]

 


영향을 받는 모든 알려진 장치 및 공급업체 목록(취약 펌웨어 버전 포함)은 아래에 포함되어 있다.

 

 

 

[그림 2. 취약한 라우터/공급 업체]

 


Juniper Threat Labs는 "중국 후베이성 ​​우한에 위치한 IP 주소에서 해당 취약점을 악용하려는 공격 패턴을 식별했다."고 밝혔다.


이러한 지속적인 공격 활동의 배후의 위협 행위자들은 악의적인 도구를 사용하여 Mirai 봇넷 변종을 배치하는데, 이는 지난 3월 Unit 42 연구원들이 발견한 IoT와 네트워크 보안 장치를 대상으로 한 Mirai 캠페인에 사용된 것과 유사하다.


Juniper Threat Labs는 "유사성은 동일한 위협 행위자가 이 새로운 공격의 배후에 있으며 새로 공개된 또 다른 취약점으로 침투 무기를 업그레이드하려고 시도하고 있음을 알 수 있다."고 말했다.


연구원들은 2월 18일에 처음으로 위협 행위자의 활동을 발견했으며 그 이후로 그들은 무기고에 새로운 익스플로잇을 지속적으로 추가했으며 CVE-2021-20090을 대상으로 하는 익스플로잇은 이번 주 초에 마지막으로 포함되었고, 앞으로 나올 가능성이 더 높다.

 

"대부분의 사람들이 보안 위험을 인식하지 못하고 조만간 장치를 업그레이드하지 않을 수 있다는 점을 감안할 때, 이 공격 전술은 매우 성공적이고 저렴하며 수행하기 쉽다."


공격을 개시하는 데 사용되는 IP 주소와 해시 샘플 등을 포함한 침해 지표(IOC)는 Juniper Threat Labs의 보고서 끝부분에서 확인할 수 있다.

 

 

 

출처
https://www.bleepingcomputer.com/news/security/actively-exploited-bug-bypasses-authentication-on-millions-of-routers/

https://twitter.com/stargravy/status/1422550311814762503?s=20

첨부파일 첨부파일이 없습니다.
태그 Arcadyan  Mirai  CVE-2021-20090