세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
UPnP 통한 디도스 공격, 방어의 근간을 뒤흔들다
  |  입력 : 2018-05-16 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현대 디도스 방어의 주요 요소인 ‘소스 포트’ 정보 속이기
방어 우회하고 증폭 공격 실시해 대량의 트래픽 투척할 수 있어


[보안뉴스 문가용 기자] 유니버설 플러그 앤 플레이(Universal Plug and Play, UPnP) 네트워크 프로토콜에서 치명적인 취약점이 발견됐다. 보안 업체 임퍼바(Imperva)가 발표한 내용으로, 이 취약점을 악용할 경우 디도스 완화 및 방어 장비를 피해서 디도스 공격을 성공시킬 수 있다고 한다.

[이미지 = iclickart]


임퍼바는 발표 내용 속에 개념증명도 함께 포함시켰는데, 이 분석은 2017년 임퍼바가 발표한 “다양한 프로토콜을 익스플로잇 해 반사 공격 증폭시키기”와 관련이 있다. 당시 임퍼바는 도메인 이름 시스템(DNS) 서버를 활용해 반사 공격을 실시하면 트래픽을 크게 증폭시킬 수 있다고 발표했었다.

“증폭 공격을 할 수 있게 되면 공격자 입장에서는 대형 봇넷이라는 투자 없이도 엄청난 트래픽을 표적에 쏟아 부을 수 있게 됩니다. 그러나 최근에 들어서는 이러한 공격 방식이 큰 위협이 되지 못합니다. 왜냐하면 디도스 방어 솔루션이 크게 발전해, 트래픽 양은 그다지 중요한 요소가 되지 않게 되었거든요.” 이번 발표 보고서를 함께 작성한 아비샤이 자워즈닉(Avishay Zawoznik), 조나단 아자리아(Jonathan Azaria), 이갈 제이프만(Igal Zeifman)의 설명이다. “DNS 증폭 공격은 53번 소스 포트에서 오는 모든 패킷들을 차단하면 된다는 사실이 밝혀지기도 했고요.”

이런 상황에서 UPnP를 활용한 새로운 디도스 공격이 발견된 것이다. “SSDP 페이로드의 일정 부분(약 12%)이 가끔씩 전혀 예상치 못한 다른 소스 포트로부터 온다는 것을 발견했습니다. 원래는 UDP/1900으로부터 와야 하는데 말이죠.” SSDP는 UPnP 장비들이 데이터 공유에 사용하는 프로토콜이다.

임퍼바는 이 현상을 발견하고 즉시 ‘소스 포트를 혼잡하게 만드는 방법’에 대해 연구하기 시작했다. 그리고 UPnP를 활용해 소스 포트를 속이거나 보이지 않게 만드는 데 성공했다. “SSDP를 활용한 증폭 공격이든, DNS나 NTP 를 활용한 공격이든 증폭 페이로드와 관련된 소스 포트 정보를 감출 수 있었습니다. 그러므로 현대의 디도스 완화 솔루션들을 속일 수 있게 된 것이죠. 비슷한 종류의 다른 증폭 및 반사 공격에도 통할 것으로 보입니다.”

공격자 입장에서 새로운 UPnP 디도스 공격을 실시하려면 취약한 UPnP 게이트웨이 장비들을 찾으면 되는데, 이는 쇼단이라는 검색 엔진으로 간단히 해결된다. “UPnP와 관련이 있는 파일이 있어요. 이름은 rootDesc.xml이죠. 이 파일을 사용하면 UPnP와 관련된 모든 서비스와 장비들을 열람할 수 있게 됩니다.”

연구원들은 “rootDesc.xml 파일을 확보하면 다음 공격도 기획할 수 있다”며 “임퍼바의 개념증명에서는 AddPortMapping이라는 명령을 사용해 포트 전달 규칙을 새롭게 설정하는 방법을 활용했다”고 밝혔다. “이 방법을 이용하면 SOAP 요청을 조작해 규칙을 새롭게 만들 수 있습니다. 즉 모든 1337 포트로 전달되는 모든 UDP 패킷들을 외부 DNS 서버(3.3.3.3)으로 리라우팅할 수 있다는 것이죠. 이 때 사용되는 포트는 UDP/53입니다.”

이렇게 포트 전달 규칙을 바꾸면 DNS 요청을 한 개 포트(UDP/1337)로 보낼 수 있게 되면 이를 UDP/53 포트를 통해 DNS 리졸버로 프록시시킬 수 있게 된다. “DNS 리졸버는 소스 포트인 UDP/53을 통해 장비에 응답을 보냅니다. 그 장비는 DNS로부터의 응답을 다시 원래 요청이 들어왔던 곳으로 전달하고요. 하지만 이 과정에서 소스 포트를 다시 UDP/1337로 변환하지 않습니다.”

임퍼바는 “보안 전문가들이 이번 개념증명 및 보고서 때문에 디도스 방어의 기본 원리를 다시 생각해야 할지도 모른다”며 “공격자들은 우리의 방어 원리를 항상 뒤흔들려고 노력할 것”이라고 말했다.

임퍼바의 상세한 기술 보고서는 여기(https://www.imperva.com/blog/2018/05/new-ddos-attack-method-demands-a-fresh-approach-to-amplification-assault-mitigation/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)