Home > Security

드레이텍 비거 라우터들에서 초고위험도 취약점 나와 중소기업들에 비상

  |  입력 : 2022-08-04 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
드레이텍 비거 라우터들은 중소기업들에서 자주 사용하는 제품이다. VPN 기능도 제공하고 가격도 부담스럽지 않아 여러 대륙과 국가들에서 사용된다. 그런데 여기서 위험한 취약점이 발견됐다. 이 취약점이 있으면 공격자가 라우터를 장악해 각종 악성 행위를 실시할 수 있게 된다고 한다.

[보안뉴스 문가용 기자] 드레이텍 비거(DrayTek Vigor) 라우터들에서 초고위험도 원격 코드 실행 취약점이 발견됐다. 이 취약점의 익스플로잇에 성공할 경우 공격자는 장비를 완전히 장악할 수 있게 되며, 이를 통해 장비가 연결된 네트워크에도 진입할 수 있다고 한다. 이 취약점의 관리 번호는 CVE-2022-32548이며, CVSS 기준 10점 만점에 10점을 받았다. 피해자의 클릭이나 파일 열기를 유도하지 않아도 익스플로잇이 가능하다. 보안 업체 트렐릭스(Trellix)가 발표했다.

[이미지 = utoimage]


드레이텍 라우터들은 주로 중소기업과 소규모 사업장에서 많이 사용되는 장비이며, VPN 기능을 제공하기도 한다. 팬데믹으로 많은 사람들이 재택 근무를 시작하면서 ‘VPN이 되는 저렴한 라우터’로 알려지며 인기를 구가했다. 아시아, 유럽, 북미에서도 널리 사용되지만 특히 영국에서 인기가 높은 것으로 알려져 있다.

트렐릭스에 의하면 장비 관리 인터페이스가 인터넷에 곧바로 연결되도록 설정되어 있을 경우 제로클릭 공격이 가능하다고 한다. 쇼단을 통해 검색했을 때 이런 식으로 설정된 장비가 대략 20만 대가 넘는 것으로 나타났다. 인터넷에 연결되지 않은 경우라면 피해자가 한 번 클릭을 해야 공격이 성립된다. 이 공격을 성공시키려면 공격자가 피해 장비가 연결된 LAN에 접속한 상태여야 한다.

중소기업들이 위험해
다행히 현재까지 실제 익스플로잇 공격 사례가 발견되지는 않고 있다. 하지만 이번에 트렐릭스의 발표로 버그의 존재가 알려졌으니 조만간 공격 시도가 쇄도할 가능성이 높다. 따라서 드레이텍 라우터를 사용하는 중소기업이라면 펌웨어 업데이트가 시급하다. 실제로 드레이텍 라우터에서 나온 취약점 정보는 종종 미국의 사이버 보안 전문 기관인 CISA가 나서서 경고하기도 한다. 중국 정부의 지원을 받는 해킹 단체들이 가장 익스플로잇 하기 좋아하는 장비들 중 하나가 드레이텍 라우터라고 말하는 보안 전문가들도 있다.

고급 기술을 가진 해킹 단체가 왜 굳이 얻을 것도 별로 없는 중소기업을 노릴까, 하는 의문이 제기되기도 한다. 트렐릭스는 “중소기업이 대기업보다 훨씬 많기 때문"이라고 설명한다. “미국의 경우 중소기업은 600만 개가 넘습니다. 대기업은 2만여 개에 불구하고요. 공격 표면의 크기 자체가 다릅니다. 어느 중소기업이나 데이터를 보유하고 있어요. 어떤 형태로든 데이터라는 건 공격자들에게 큰 가치가 있습니다. 게다가 중소기업은 대기업보다 복구력이 약하기 때문에 사소한 해킹 공격 한 번이 치명적으로 작용할 가능성이 높습니다.”

장비 완전 장악이라는 위험
이번에 발견된 취약점의 경우 중소기업에 치명적인 피해를 입히는 게 가능하다. 장비를 완전 장악할 수 있기 때문인 건데, 어떤 장비를 장악하느냐에 따라 기업 폐쇄에까지 도달할 수 있다. 왜?
라우터를 장악한 공격자라면 다음과 같은 행위들을 할 수 있기 때문이다.

1) 라우터에 저장된 민감한 데이터(키, 관리자 비밀번호 등)를 훔친다.
2) 위에서 훔친 정보를 가지고 네트워크 내부로 침투하고 횡적으로 움직인다.
3) 중간자 공격을 실시하여 DNS 요청과 기타 다른 비암호화 트래픽을 모니터링 하거나 훔쳐낸다.
4) 라우터의 모든 포트들을 통과하는 패킷을 캡처할 수 있게 된다.
5) 감염시킨 라우터를 대형 봇넷에 연결시킨다.
6) 구성한 봇넷을 사용해 디도스 공격을 하거나 암호화폐 채굴을 실시한다.

CVE-2022-32548이라는 취약점
이 취약점이 원격 코드 실행 공격까지 할 수 있게 해 주는 경우는 비거 3910 외 28개 드레이텍 모델들에 해당한다. 같은 코드베이스로 구성된 모델들이다. 장비 내 웹 관리 인터페이스에 접속하기 위한 로그인 페이지에 버퍼 오버플로우 현상이 나타나는데, 이것이 CVE-2022-32548이 나타나는 근본적인 이유가 된다고 트렐릭스는 설명한다. “버퍼 오버플로우를 야기시킨 후에는 드레이OS(DrayOS)라는 OS를 장악할 수 있게 됩니다. 장악한 OS에는 후속 접속을 위한 통로를 안정적으로 마련할 수 있게 되고, 네트워크 내부 깊숙한 곳에 출입할 수도 있게 됩니다.”

드레이텍 라우터를 사용하는 기업들이라면 제일 먼저 펌웨어 업그레이드를 실시해야 한다고 트렐릭스는 강조한다. 펌웨어 업데이트를 주기적으로 확인했고, 그래서 최신 버전이 거의 항상 잘 설치되었다면 그 다음으로 해야 할 일은 관리자 인터페이스를 인터넷에 절대로 노출시키지 않는 것이다. 만약 꼭 인터넷에 연결해야만 하는 일이 있다면 이중인증 및 다중인증 시스템을 적용시키는 것이 좋다고 트렐릭스는 말한다.

“그 다음은 포트 미러링과 DNS 설정 상태, VPN 접근 승인 설정 등을 점검해야 합니다. 그래서 관리자 인터페이스의 설정 내용을 상쇄시키는 부분이 없도록 하는 것이 좋습니다. 또한 비밀번호를 다른 것으로 바꿔주는 것으로 마무리 하면 됩니다. 만약 패치가 불가능한 상황이라면, 네트워크와 라우터를 모니터링 해서 비정상적인 행동 패턴이 발생할 시 금방 파악할 수 있어야 합니다.”

3줄 요약
1. 중소기업들에서 널리 사용되는 인기 라우터 모델들에서 초고위험도 취약점 발견됨.
2. 이 취약점을 악용할 경우 피해자의 클릭 한 번 없이도 장비를 장악하는 게 가능.
3. 중소기업들은 공격자들이 매우 자주 노리는 공격 대상.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)