보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

억 대 넘는 사물인터넷 장비를 위험에 노출시키는 취약점 9개 발굴

  |  입력 : 2021-04-14 12:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 장비들의 통신 기능에 도입되어 있는 TCP/IP 요소들에서 9가지 취약점이 발견됐다. 합해서 네임렉이라고 부르는데, 이를 통해 공격자들은 디도스 공격이나 원격 코드 실행 공격을 실시할 수 있다고 한다. 패치를 해야 하는데, 사실 이런 류의 패치가 고객 장비에 안전히 안착한 사례는 극히 드물다.

[보안뉴스 문가용 기자] 수많은 사물인터넷 장비들이 원격 코드 실행 및 디도스 공격에 노출되어 있다는 연구 결과가 나왔다. IoT 장비들에 내재되어 있는 TCP/IP 스택들에서 DNS 관련 취약점들이 다량으로 발견됐기 때문이다. 보안 업체 포스카웃(Forescout)과 제이소프(JSOF)가 공동으로 연구해 발표한 내용이다.

[이미지 = utoimage]


두 업체의 연구원들이 찾아낸 건 총 9개의 취약점으로, 프리BSD(FreeBSD), 뉴클리어스 넷(Nucleus NET), 넷엑스(NetX), 아이피넷(IPnet)으로 구성된 TCP/IP 스택 모든 부분에서 발견되고 있다고 한다. 이 TCP/IP 스택들은 사물인터넷 생태계에서 광범위하게 사용되고 있기 때문에 문제가 심각하다고 포스카웃의 수석 연구원인 다니엘 도스 산토스(Daniel dos Santos)는 경고했다. “IoT 장비들만이 아니라 DNS 패킷들을 처리하는 소프트웨어들도 영향권 아래 있을 수 있습니다.”

프리BSD는 주로 고성능 서버, 프린터, 방화벽, 임베디드 시스템에 사용되는 것으로, 야후와 넷플릭스 등과 같은 대형 기업들에서도 발견되는 것들이다. 뉴클리어스 넷은 지멘스가 개발한 실시간 OS인 뉴클리어스 알토스(Nucleus RTOS)의 한 요소로, 산업, 의료, 자동화, 항공 산업 내 시스템들에서 주로 사용되고 있다. VoIP 환경에서도 뉴클리어스 넷이 자주 활용된다. 넷엑스는 스레드엑스(ThreadX)라는 실시간 OS와 함께 운영되는 것이 보통이며, 의료, 에너지 산업 환경 내 장비들과 프린터, 전력소 내 세어 시스템 등에 활용된다. 아이피넷의 취약점은 이미 얼마 전 다른 회사가 발견해 조용히 수정을 완료한 상태다.

이번에 포스카웃과 제이소프가 발견한 취약점은 총 9개로 통칭하여 네임렉(NAME:WRECK)이라고 하며 익스플로잇에 성공할 경우 공격자들은 장비를 인터넷으로부터 분리시키거나 장비에 멀웨어를 심을 수 있게 된다고 한다. 이로써 데이터를 훔치거나 기능을 정지시키는 공격이 가능하게 된다. 현재 에너지 분야와 의료 분야, 정부 기관들이 가장 많은 위험에 노출된 상태라고 한다. 프리BSD, 뉴클리어스 넷, 넷엑스, 아이피넷의 취약점 모두 현재는 패치가 배포되고 있다. 각 장비 제조사들이 이를 고객들에게 제공해야 한다.

하지만 사물인터넷 장비의 특성상 패치를 적용하는 게 어려울 때가 많다. 그러한 경우의 조직들은 위험 완화 방법들을 알아내 도입하는 것이 권장된다. 여기에는 1) 취약한 장비의 발견, 2) 망분리, 3) 네트워크 트래픽 모니터링, 4) 시스템 설정 수정 등이 포함된다. 포스카웃과 제이소프는 이번에 발견된 DNS 취약점들을 찾아내고 올바로 구축할 수 있도록 하기 위해 무료로 도구를 배포하고 있기도 하다. 물론 자사 제품들에 한해서만 작동하는 도구들이다.

산토스는 “장비 제조사들 중 서드파티 요소와 관련된 취약점에 대한 패치를 개발해 배포하는 곳은 그리 많지 않다”고 말한다. “심지어 패치가 나온다 하더라도 일반 사용자들 입장에서 이를 적용하는 게 쉽지 않을 때도 많습니다. 예를 들어 단 한 순간도 멈출 수 없는 심장박동기의 경우, 패치라는 게 말처럼 간단한 일이 아니죠. 생산 시설의 다양한 설비들도 마찬가지이고요.”

원래 포스카웃과 제이소프는 DNS의 보안 문제를 탐구하고 있었는데, 그 과정에서 네임렉 취약점들을 발견한 것이라고 한다. 지난 해에 두 회사는 19개의 취약점들을 TCP/IP 스택에서 발견해 세상에 리플20(Ripple20)이라는 이름으로 공개하기도 했었다. 12월에는 네 가지 오픈소스 TCP/IP 프로젝트에서 33개의 취약점을 발견해 암네지아33(Amnesia:33)이라고 명명했었다. 2월에는 넘버잭(Number:Jack)이라는 취약점이 TCP/IP에서 발견됐다.

이번에 발견된 네임렉은 다음과 같다.
1) CVE-2020-7461 : 원격 코드 실행 취약점, 7.7점(프리BSD)
2) CVE-2016-20009 : 원격 코드 실행 취약점, 9.8점(아이피넷)
3) CVE-2020-15795 : 원격 코드 실행 취약점, 8.1점(뉴클리어스 넷)
4) CVE-2020-27009 : 원격 코드 실행 취약점, 8.1점(뉴클리어스 넷)
5) CVE-2020-27736 : 디도스 취약점, 6.5점(뉴클리어스 넷)
6) CVE-2020-27737 : 디도스 취약점, 6.5점(뉴클리어스 넷)
7) CVE-2020-27738 : 디도스 취약점, 6.5점(뉴클리어스 넷)
8) CVE-2021-25677 : DNS 캐시 포이즈닝 및 스푸핑 취약점, 5.3점(뉴클리어스 넷)
9) 번호 없음 : 디도스 취약점, 6.5점(넷엑스)

산토스는 “이번에 발견된 사물인터넷 오류들을 공격자들이 얼마나 광버위하게 활용할지 예측하는 건 어렵다”고 설명한다. “다만 DNS 서버에서 발견된 과거 취약점들을 익스플로잇 하려는 시도는 끊임없이 존재해 왔었습니다. 2018년, 아마존 서비스와 악성 도메인을 활용해 암호화폐 거래소 사용자들을 악성 사이트로 우회 접속시킨 공격도 있었고, 2019년에도 DNS 서버 하이재킹 공격 시도가 있었습니다. 이번 취약점들에 노출된 장비도 억 대가 넘는 것으로 추정되는데, 공격 시도가 없지는 않을 겁니다.”

3줄 요약
1. 전 세계 억 대 사물인터넷 장비에서 TCP/IP 관련 취약점 9개 발견됨.
2. TCP/IP 스택인 프리BSD, 아이피넷, 뉴클리어스 넷, 넷엑스 모두에서 취약점 나옴.
3. 이 취약점을 합해서 네임렉이라고 부르는데, 장비 제조사들이 고객 장비를 위한 패치를 개발할지가 관건.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북