포페이스의 산업용 라우터에서 발견된 취약점, 실제 공격의 통로가 돼

산업용 라우터 장비들에서 취약점이 하나 발견됐다. 하지만 진짜 문제는 이 취약점에 대한 패치가 아직 나왔는지 안 나왔는지 알 수 없다는 것이다. 이 때문에 사용자들은 조금 더 능동적인 대처법을 마련해야 한다.

3줄 요약
1. 포페이스라는 업체의 라우터 장비에서 취약점 나옴.
2. 그런데 패치는 아직 안 나온 것으로 보임.
3. 사용자들 편에서 좀 더 능동적으로 대처해야 하는데, 나름 재미 있고 유익함.

[보안뉴스 문가용 기자] 라우터는 사이버 공격자들이 매일처럼 노리며 침해를 시도하는, 대단히 인기 높은 장비 중 하나다. 간단한 네트워크 연결과 설정만으로 누구나 사용할 수 있는 장비이기도 하고, 인터넷이 이제는 모든 사람들의 필수 서비스가 되면서 어디에나 있는 장비이기도 하기 때문이다. 게다가 한 번 설치 후에는 방치되는 경우가 거의 대부분이라 허점도 많다. 최근에도 주요 라우터 모델들을 노리는 악성 캠페인이 발견됐다.

[이미지=gettyimagesbank]

포페이스의 산업용 라우터의 취약점, 실제 공격의 통로가 돼
최근에는 포페이스(Four-Faith)에서 만든 산업용 라우터에서 발견된 취약점 하나가 실제 공격자들에 의해 악용되고 있다는 것이 밝혀지기도 했다. 보안 업체 벌체크(VulnCheck)가 발표한 내용으로, 이 사건에 연루된 버그는 CVE-2024-12856이라는 원격 명령 주입 취약점이라고 한다.

문제의 취약점을 익스플로잇 하려면 어떻게 해야 할까? 벌체크에 의하면 “포페이스 F3x24와 F3x36 모델들에 HTTP 요청을 주입하는 것으로 완료된다”고 한다. “현재 이런 공격에 노출되어 있는 장치가 인터넷 전체에 약 1만 5천 개 이상 존재하고 있는 것으로 조사되고 있습니다.” 이는 센시스(Censys)라는 인터넷 검색 도구를 통해 얻어낸 결과라고 한다.

“노출된 시스템들에서 submit_type=adjust_sys_time이라는 매개변수를 통해 시간 설정값을 수정할 때 adj_time_year 매개변수에서 OS 명령 주입 취약점이 발동됩니다. 발동된 취약점을 익스플로잇 함으로써 공격자들은 원하는 명령을 실행할 수 있고, 이를 확인도 할 수 있습니다.”

벌체크는 이번에 발견된 취약점인 CVE-2024-12856에 대한 익스플로잇 시도를 적발하는 데 성공했다. 하지만 이것이 처음은 아니었다. 이미 지난 11월에도 벌체크는 똑같은 취약점을 익스플로잇 하려는 시도를 발견해 알린 바 있다. “11월에 관찰된 사용자 에이전트(User-agent)와 이번 캠페인에서 발견된 사용자 에이전트가 일치하긴 했으나 페이로드가 완전히 달랐습니다. 따라서 같은 공격이라고 보기에는 힘듭니다.”

오픈소스 보안 도구, 수리카타
벌체크는 수리카타(Suricata)라는 오픈소스 네트워크 탐지 도구만 사용해도 적당한 규칙 설정을 통해 CVE-2024-12856에 대한 익스플로잇 시도를 어느 정도 막는 게 가능하다고 권하고 있다. “수리카타는 사무 환경에서 가장 많이 사용하고 있는 윈도 OS나, 공장 등 생산 시설들에서 널리 사용되는 여러 리눅스 배포판에서도 잘 돌아가는 오픈소스입니다. 개인이나 단체나 오픈소스 보안 도구를 잘만 활용해도 큰 도움이 됩니다.”

수리카타는 리눅스 기반 도구이나 윈도에서도 설치와 운영이 가능하다. 벌체크는 CVE-2024-12856 취약점 익스플로잇을 방어하기 위한 수리카타 방어 규칙으로 다음을 권장한다.
alert http any any -> any any ( \
msg:"VULNCHECK Four-Faith CVE-2024-12856 Exploit Attempt"; \
flow:to_server; \
http.method; content:"POST"; \
http.uri; content:"/apply.cgi"; startswith; \
http.header_names; content:"Authorization"; \
http.request_body; content:"change_action="; \
content:"adjust_sys_time"; \
pcre:"/adj_time_[^=]+=[a-zA-Z0-9]*[^a-zA-Z0-9=]/"; \
classtype:web-application-attack; \
reference:cve,CVE-2024-12856; \
sid:12700438; rev:1;)

그래서?
오픈소스 설치까자 권장되는 이유는 아직까지 포페이스라는 업체에서부터 패치가 나왔는지 안 나왔는지 확실하지 않기 때문이다. 패치가 나왔다면 펌웨어 업데이트를 실시하는 게 가장 간편하지만, 라우터를 포함한 사물인터넷 장비를 만드는 제조사들 중에는 취약점 제보를 접수하지 않거나 후속 대처를 하지 않는 경우들이 적지 않기 때문에 사용자들은 패치 외의 위험 완화 방법에 대해서도 어느 정도 터득하고 있어야 한다.

오픈소스는 적은 노력만 투자하면 저렴한 비용으로 설치할 수 있는 소프트웨어다. 오픈소스 형식으로 풀린 보안 도구들이 제법 존재하기 때문에 이를 잘 활용하면 보안 향상에 큰 도움이 될 수 있다. 설치와 사용법 관련 자료들도 인터넷에서 쉽게 검색할 수 있기 때문에 하나하나 따라 하는 것도 그리 부담되지 않을 뿐더러, 보안에 대한 관심과 애정 또한 높일 수 있어 일석이조다. 위에서 언급된 수리카타가 만병통치약의 효과를 발휘하는 보안 도구는 아니지만, 설치와 활용이 어렵지 않고 보안 인식 증진에 도움이 될 수 있다.

공격자들이 사용하는 익스플로잇 코드 및 악성 명령 일부와, 수리카타 설치 방법, 설치 후 규칙 설정 방법 등은 이번 주 목요일(1월 3일)에 발간되는 프리미엄 리포트의 보안뉴스 확장판을 통해 확인이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)