사물인터넷 봇넷 미라이와 가프짓, 업그레이드 돼 나타나

미라이, 에퀴팩스 취약점으로 알려진 아파치 스트러츠 익스플로잇 시작
가프짓, 오래된 소닉월 시스템의 치명적인 취약점 노리는 기능 추가돼

[보안뉴스 문가용 기자] 보안 전문가들이 오픈소스 아파치 스트러츠(Apache Struts) 웹 앱 개발 플랫폼에서 발견된 취약점을 노리는 미라이(Mirai) 봇넷을 발견했다. 사물인터넷 장비로 구성된 봇넷인 미라이가 아파치 스트러츠를 공략하는 건 이번에 처음 발견된 것이다.

[이미지 = iclickart]

문제가 되고 있는 버그는 CVE-2017-5638이라고 번호가 붙은 원격 코드 실행 취약점이다. 이는 작년 미국을 떠들썩하게 만든 에퀴팩스(Equifax) 침해 사건에서 중추적인 역할을 했던 취약점으로 악명이 높다.

에퀴팩스 사건 당시의 취약점을 익스플로잇 하는 미라이 봇넷을 처음 발견한 건 보안 업체 팔로알토 네트웍스(Palo Alto Networks)로, 이곳 전문가들은 이 새로운 미라이를 두고 “공격자들이 미라이의 전략적 유연성을 높였다”고 분석하며 “공격의 표적이 소비자 기기들에서 기업용 기기로 확장된 것으로 보인다”고 밝혔다.

이 건에 대해 블로그를 작성한 팔로알토의 루크나 니감(Ruchna Nigam)은 “CVE-2017-5638은 미라이가 익스플로잇 하는 16가지 취약점들 중 하나가 되었다”며 “원래 미라이는 원격 코드 실행 취약점, 명령 주입 취약점 등 여러 네트워크 장비, 라우터, CCTV, DVR 등에서 나타나는 각종 버그들을 익스플로잇 해 봇넷으로 편입시키는 멀웨어였다”고 설명한다.

이 미라이 변종의 샘플이 처음 발견된 건 9월 7일의 일로, 팔로알토의 보안 전문가들은 이를 추적하면서 두 개의 악성 도메인도 발견할 수 있었다고 한다. 그 중 하나는 8월 또 다른 사물인터넷 봇넷 멀웨어인 가프짓(Gafgyt)의 변종을 퍼트리는 데 활용된 것으로 밝혀졌다.

이렇게 드러난 가프짓 변종에도 업데이트가 있었다. 여기에는 CVE-2018-9866 취약점에 대한 익스플로잇도 포함되어 있는데, 이는 비교적 최근에 발견된 원격 코드 실행 취약점이다. 보안 업체 소닉월(SonicWall)의 글로벌 관리 시스템(Global Management System) 빌드 8.1 혹은 그 이전 버전에서 나타났다. 소닉월이 더 이상 지원하지 않는 오래된 버전들에 있는 취약점으로 패치도 나오지 않을 전망이다.

“가프짓 변종의 샘플이 처음 발견된 건 8월 5일입니다. CVE-2018-9866을 위한 메타스플로잇 모듈이 처음 공개되고서 1주일도 지나지 않은 시점이며, 소닉월이 7월 17일 CVE-2018-9866을 공개하고서 3주가 채 되지 않은 때입니다. 즉 취약점과 패치가 공개되고 한 달도 지나지 않아 다양한 공격 시도들이 이뤄진다는 겁니다.” 니감의 설명이다.

가프짓 변종의 샘플들에는 그밖에도 다양한 익스플로잇이 포함되어 있었다. 화웨이(Huawei)와 디링크(D-Link)에서 나오는 장비들을 공략하는 것이 특히 눈에 띄었다고 전문가들은 말한다. 그 외에도 낮은 광역대의 인터넷 제어 메시지 프로토콜(ICMP) 디도스 공격을 실시하는 기능도 발견됐다. 이러한 공격 수법을 블랙너스(Blacknurse)라고 부르기도 한다.

3줄 요약
1. 사물인터넷 봇넷 멀웨어들의 대표 미라이와 가프짓, 각각 업그레이드 거쳤음.
2. 미라이는 아파치 스트러츠 취약점 익스플로잇 가능해지고, 가프짓은 소닉월 시스템 익스플로잇.
3. 공격자들, 소비자용 가전제품에서 업무용 혹은 산업용 장비로 공격 대상 확장시킨 듯.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)