작년에 발견됐지만 아직도 패치 안 된 취약점...본질적으로 OS 명령 주입 가능케 해
사용자들이 취약한 시스템을 인터넷은 물론 내부 망에서도 분리시켜야 위험 완화돼[보안뉴스 문가용 기자] 공격자들이 노르텍(Nortek)에서 출시한 입구 통제 시스템을 악용해 디도스 공격을 실시하고 있다는 소식이다. 보안 업체 소닉월(SonicWall)에서 발표한 바에 따르면 공격자들이 최근 노르텍 제품이 차지하고 있는 IPv4 주소 영역을 광범위하게 스캔하고 있으며, 소닉월 방화벽 제품에 의해 차단되는 악성 행위가 하루에도 수십 만에 달한다고 한다.
[이미지 = iclickart]
문제가 되는 제품은 리니어 이머지 E3 시리즈(Linear eMerge E3 Series)로, 지난 해 CVE-2019-7256이라는 취약점이 펌웨어에서 발견된 바 있다. 리니어 이머지 시리즈를 사용하면 조직 차원에서 특정 영역 출입 인원을 지정해 통제할 수 있으며, 따라서 여러 주요 시설에서 흔히 찾을 수 있는 제품이기도 하다.
취약점을 처음 발견한 건 보안 업체 어플라이드 리스크(Applied Risk)다. 취약점은 매우 위험한 것으로 분석돼, CVSS 기준으로 10점 만점을 받았다. 원격에서 제어 시스템을 완전히 장악할 수 있게 해주는 것이라 이렇게 높은 점수를 받은 것으로 알려졌다.
그 외에도 취약점 익스플로잇을 통해 일어날 수 있는 일은 다음과 같다.
1) 정보 노출
2) 시스템 무결성 침해
3) 시스템 가용성 손상
게다가 익스플로잇 난이도가 매우 낮다는 것도 문제라고 지적됐다.
당시 어플라이드 리스크 측은 “노르텍이 해당 문제에 대해 인지하고 있으나 패치는 개발하지 않은 상태”라고 발표했었다. 그런 상태에서 개념증명 코드까지 발표됐으나(11월), 소닉월에 의하면 아직도 패치는 오리무중이라고 한다. 노르텍은 아무런 입장 발표도 없다.
그러므로 소닉월이 “공격자들의 실제 공격 행위가 늘어나고 있다”는 발표는, 사실상 예견된 것이나 다름이 없었다. “특정 HTTP 요청을 활용한 취약점 스캔 행위가 발견되고 있습니다. 익스플로잇에 성공한 경우, 공격자들은 셸 명령어를 사용해 멀웨어를 다운로드 받는 걸로 나타났습니다. 현재까지 나타난 공격은 대부분 ‘디도스’ 유형이었습니다.”
하지만 디도스 공격 외에도 여러 가지 피해 가능성이 존재한다고 소닉월은 경고한다. “이 취약점은 본질적으로 OS 명령을 주입할 수 있게 해주는 것입니다. 따라서 인프라 내 여러 요소에 다양한 피해를 끼칠 수 있습니다. 이론 상, 공격자들이 이 취약점을 익스플로잇 한 순간 시스템을 완전히 장악한 것이나 다름 없는 수준이라고 봐도 무방할 정도입니다.” 소닉월의 설명이다.
소닉월은 어플라이드 리스크의 분석 보고서를 인용하기도 했다. “현재까지 인터넷에 연결된, 취약한 이머지 E3 시스템은 2300개가 넘는 것으로 파악됩니다. 하지만 이는 더 많은 시스템과 데이터에 접근할 수 있게 해주는 문과 같습니다. 이 2300개에 연결된 민감 정보나 개인 식별 정보는 4백만 건이 넘는 것으로 파악됩니다. 빨리 패치가 나와야 합니다.”
패치가 나오기 전까지 노르텍 제품을 사용하고 있는 조직에서는 몇 가지 조치를 취함으로써 위험을 어느 정도 완화시킬 수 있다.
1) 취약한 노르텍 시스템이 인터넷과 연결되어 있지 않도록 설정한다. 공격자들은 쇼단(Shodan)을 활용해 스캔을 실시하고 있다.
2) 취약한 노르텍 시스템을 내부 망에서도 분리시킨다. 누군가 몰래 네트워크에 접속해 횡적 움직임으로 노르텍 제품에 다가가지 못하도록 해야 한다.
3줄 요약1. 노르텍 입구 통제 시스템에서 이미 작년부터 취약점 발견됨.
2. 위험할 뿐만 아니라 익스플로잇도 쉬워 위험 점수 만점 받음.
3. 노르텍은 아직까지도 패치 안 함...공격자들의 스캐닝 행위 늘어남.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86155&page=1&mkind=1&kind=]
