Home > 전체기사
UPnP 통한 디도스 공격, 방어의 근간을 뒤흔들다
  |  입력 : 2018-05-16 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현대 디도스 방어의 주요 요소인 ‘소스 포트’ 정보 속이기
방어 우회하고 증폭 공격 실시해 대량의 트래픽 투척할 수 있어


[보안뉴스 문가용 기자] 유니버설 플러그 앤 플레이(Universal Plug and Play, UPnP) 네트워크 프로토콜에서 치명적인 취약점이 발견됐다. 보안 업체 임퍼바(Imperva)가 발표한 내용으로, 이 취약점을 악용할 경우 디도스 완화 및 방어 장비를 피해서 디도스 공격을 성공시킬 수 있다고 한다.

[이미지 = iclickart]


임퍼바는 발표 내용 속에 개념증명도 함께 포함시켰는데, 이 분석은 2017년 임퍼바가 발표한 “다양한 프로토콜을 익스플로잇 해 반사 공격 증폭시키기”와 관련이 있다. 당시 임퍼바는 도메인 이름 시스템(DNS) 서버를 활용해 반사 공격을 실시하면 트래픽을 크게 증폭시킬 수 있다고 발표했었다.

“증폭 공격을 할 수 있게 되면 공격자 입장에서는 대형 봇넷이라는 투자 없이도 엄청난 트래픽을 표적에 쏟아 부을 수 있게 됩니다. 그러나 최근에 들어서는 이러한 공격 방식이 큰 위협이 되지 못합니다. 왜냐하면 디도스 방어 솔루션이 크게 발전해, 트래픽 양은 그다지 중요한 요소가 되지 않게 되었거든요.” 이번 발표 보고서를 함께 작성한 아비샤이 자워즈닉(Avishay Zawoznik), 조나단 아자리아(Jonathan Azaria), 이갈 제이프만(Igal Zeifman)의 설명이다. “DNS 증폭 공격은 53번 소스 포트에서 오는 모든 패킷들을 차단하면 된다는 사실이 밝혀지기도 했고요.”

이런 상황에서 UPnP를 활용한 새로운 디도스 공격이 발견된 것이다. “SSDP 페이로드의 일정 부분(약 12%)이 가끔씩 전혀 예상치 못한 다른 소스 포트로부터 온다는 것을 발견했습니다. 원래는 UDP/1900으로부터 와야 하는데 말이죠.” SSDP는 UPnP 장비들이 데이터 공유에 사용하는 프로토콜이다.

임퍼바는 이 현상을 발견하고 즉시 ‘소스 포트를 혼잡하게 만드는 방법’에 대해 연구하기 시작했다. 그리고 UPnP를 활용해 소스 포트를 속이거나 보이지 않게 만드는 데 성공했다. “SSDP를 활용한 증폭 공격이든, DNS나 NTP 를 활용한 공격이든 증폭 페이로드와 관련된 소스 포트 정보를 감출 수 있었습니다. 그러므로 현대의 디도스 완화 솔루션들을 속일 수 있게 된 것이죠. 비슷한 종류의 다른 증폭 및 반사 공격에도 통할 것으로 보입니다.”

공격자 입장에서 새로운 UPnP 디도스 공격을 실시하려면 취약한 UPnP 게이트웨이 장비들을 찾으면 되는데, 이는 쇼단이라는 검색 엔진으로 간단히 해결된다. “UPnP와 관련이 있는 파일이 있어요. 이름은 rootDesc.xml이죠. 이 파일을 사용하면 UPnP와 관련된 모든 서비스와 장비들을 열람할 수 있게 됩니다.”

연구원들은 “rootDesc.xml 파일을 확보하면 다음 공격도 기획할 수 있다”며 “임퍼바의 개념증명에서는 AddPortMapping이라는 명령을 사용해 포트 전달 규칙을 새롭게 설정하는 방법을 활용했다”고 밝혔다. “이 방법을 이용하면 SOAP 요청을 조작해 규칙을 새롭게 만들 수 있습니다. 즉 모든 1337 포트로 전달되는 모든 UDP 패킷들을 외부 DNS 서버(3.3.3.3)으로 리라우팅할 수 있다는 것이죠. 이 때 사용되는 포트는 UDP/53입니다.”

이렇게 포트 전달 규칙을 바꾸면 DNS 요청을 한 개 포트(UDP/1337)로 보낼 수 있게 되면 이를 UDP/53 포트를 통해 DNS 리졸버로 프록시시킬 수 있게 된다. “DNS 리졸버는 소스 포트인 UDP/53을 통해 장비에 응답을 보냅니다. 그 장비는 DNS로부터의 응답을 다시 원래 요청이 들어왔던 곳으로 전달하고요. 하지만 이 과정에서 소스 포트를 다시 UDP/1337로 변환하지 않습니다.”

임퍼바는 “보안 전문가들이 이번 개념증명 및 보고서 때문에 디도스 방어의 기본 원리를 다시 생각해야 할지도 모른다”며 “공격자들은 우리의 방어 원리를 항상 뒤흔들려고 노력할 것”이라고 말했다.

임퍼바의 상세한 기술 보고서는 여기(https://www.imperva.com/blog/2018/05/new-ddos-attack-method-demands-a-fresh-approach-to-amplification-assault-mitigation/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향