시스코 라우터 장비 취약점, 해커들이 찾아 헤매고 있다

입력 : 2019-01-29 09:49

최근 RV320과 RV325에서 발견된 취약점 두 개...해커들의 최신 먹잇감
하나는 정보 유출 취약점, 다른 하나는 명령 실행...합치면 장비 장악 가능

[보안뉴스 문가용 기자] 해커들이 시스코의 소기업용 라우터(Cisco Small Business Router)들을 인터넷에서 검색하고 있다. 특히 정보 노출 및 명령 주입 취약점이 있는 것들을 찾아 헤매고 있다. 이 취약점들은 바로 얼마 전 시스코에서 패치한 것들이다.


문제의 라우터 모델은 Small Business RV320과 RV325 라우터로, 지난 1월 23일 시스코가 고위험군 취약점 두 개가 있으니 조심하라고 고객들에게 경고를 전달했다. 취약점 중 하나는 CVE-2019-1653으로 정보 노출 취약점의 일종이라고 시스코는 전달했다. 인증 받지 못한 공격자가 원격에서 민감한 정보를 수집할 수 있게 해주는 취약점이라는 뜻이다.

그 다음 취약점은 CVE-2019-1652로 공격자가 관리자 권한을 탈취한 뒤 루트에서 임의의 명령을 실행할 수 있게 해주는 것이었다. 이 두 가지 취약점을 합해서 공격하면 라우터를 공격자가 통째로 장악할 수 있게 된다.

CVE-2019-1653이 발견되는 곳은 펌웨어 버전이 1.4.2.15와 1.4.2.17인 라우터들이다. 이것은 1.4.2.19 버전으로 패치가 되었다. 두 번째 취약점인 CVE-2019-1652가 발견되는 곳은 펌웨어 버전이 1.4.2.15에서 1.4.2.19까지인 라우터들이며, 1.4.2.20 버전을 통해 패치됐다.

이 두 가지 취약점을 발견한 건 독일의 보안 회사인 레드팀 펜테스팅(RedTeam Pentesting)으로, 시스코의 권고문이 발표된 시점에 취약점의 기술 정보와 개념증명 코드를 발표하기도 했다.

그리고 1월 25일 보안 전문가 데이비드 데이비슨(David Davidson)은 이 두 가지 취약점을 한꺼번에 익스플로잇 하는 개념증명을 발표했다. 데이비슨은 CVE-2019-1653을 통해 환경설정 및 디버그 파일들을 얻어낸 후, 이 정보를 통해 인증 정보를 가져가는 데 성공했다. 라우터의 환경설정 파일에는 해시된 비밀번호가 들어 있었고, 디버그 파일의 /etc/shadow에는 암호화된 비밀번호가 저장되어 있었기 때문이다.

비밀번호를 얻어내는 데 성공한 데이비슨은 라우터에 로그인을 하고, 기반에 깔린 리눅스 셸에서 루트 권한을 가지고 임의의 명령을 실행하는 데 성공했다. 이 때 데이비슨은 CVE-2019-1652를 활용했다.

최근 보안 연구 블로그인 배드 패키츠 리포트(Bad Packets Report)는 CVE-2019-1653 취약점을 익스플로잇 하기 위한 ‘스캐닝 활동’이 최근 증가했음을 발표했다. “다수의 공격자들이 /cgi-in/config.exp에 대한 GET 요청을 계속해서 보내고 있습니다. 이 경로는 원격의 사용자가 라우터 장비의 설성파일 전체에 접근할 수 있게 해주는 것입니다.” 배드 패키츠 리포트의 트로이 머쉬(Troy Mursch)의 설명이다.

배드 패키츠 리포트도 이를 따라 스캐닝을 해보았다. 그랬더니 RV320과 RV325 라우터들 중 위에서 언급한 두 가지 취약점 중 CVE-2019-1653을 가지고 있는 장비가 120개국에서 9600개가 발견됐다. 그 중 4400개 정도는 미국에서 발견됐고, 캐나다에서 780개, 브라질에서 630개, 태국에서 300개가 나타났다.

시스코는 “취약점 두 개에 대한 익스플로잇 코드가 공개되어 있는 상태이며, 인터넷을 통한 장비 스캐닝 행위가 대량으로 발생하고 있다”고 권고문을 업데이트해서 고객들에게 전파했다.

3줄 요약
1. 시스코 라우터 장비 중 두 가지 모델에서 고위험군 취약점 2개 발견됨.
2. 그런데 최근 해커들이 이 취약점을 적극적으로 스캔하는 것이 눈에 띔.
3. RV320과 RV325 장비 사용자들은 펌웨어 업데이트 시급히 해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  2024년 3분기, 랜섬웨어 주요 이슈 4가...

• 2

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 3

  지난해 국내 정보보호 산업 총 매출액 16조...

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  비교적 안전했던 맥OS 생태계에서도 랜섬웨어...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...