웨스턴 디지털 NAS 장비 겨냥한 공격, 제로데이 취약점 활용됐다

입력 : 2021-07-01 14:05

NAS 장비는 해커들의 꾸준한 관심과 사랑을 받는 장비다. 데이터가 저장되어 있으니 그럴 수밖에 없다. 웨스턴 디지털의 마이북 라이브 시리즈 장비에서 발생한 데이터 삭제 사건은 공격자들의 이런 성향을 보여주는 최신 사례다.

[보안뉴스 문가용 기자] 얼마 전 웨스턴 디지털(Western Digital)에서 만든 NAS 장비가 수수께끼와 같은 사이버 공격에 당했다. 마이북 라이브(MyBook Live) 제품군 사용자 일부가 ‘데이터가 전부 삭제되는 일’을 경험한 것이다. 2018년 발견되었지만 웨스턴 디지털에서 생애주기 종료를 이유로 패치하지 않았던 취약점이 다시 한 번 도마 위에 올랐다. 하지만 추가 분석 결과 제로데이 취약점 하나가 더 연루되어 있었다는 게 드러났다.


문제가 발생한 마이북 라이브와 마이북 라이브 듀오(MyBook Live Duo)는 2010년 처음 출시된 제품들이다. 마지막 업데이트가 이뤄진 건 2015년의 일이다. 2018년 임의 명령 실행 취약점이 발견되었지만 웨스턴 디지털은 패치를 하지 않았다. 그러다 지난 주 이 장비들에 저장된 정보가 삭제되는 사고가 발생했고, 웨스턴 디지털은 피해 고객들로부터 로그 파일을 받아 분석하기 시작했다. 그 결과 공격이 다양한 IP 주소들로부터 들어왔음을 확인할 수 있었다. 침투에 성공한 공격자들은 악성 바이너리를 심고 장비를 ‘리셋’했다고 한다.

“공격자들이 공격에 활용한 취약점은 제로데이, 즉 이전에 공개되지 않았던 새로운 취약점입니다. CVE-2021-35941로, 마이북 라이브와 마이북 라이브 듀오에서 발견되는 공장 초기화 취약점이라고 볼 수 있습니다. 사용자나 관리자의 인증 없이 장비를 완전히 초기화 할 수 있게 해 주는 취약점입니다. 공격자들은 CVE-2018-18472를 익스플로잇 해 멀웨어를 심고, CVE-2021-35941을 통해 장비 리셋을 진행한 것으로 보입니다.” 웨스턴 디지털의 설명이다.

웨스턴 디지털은 마이북 라이브와 마이북 라이브 듀오를 사용하는 사람이라면 먼저 인터넷으로부터 장비들을 분리하는 게 급선무라고 강조했다. 신뢰할 수 있는 네트워크 환경 내에서, 내부 망에만 연결해서 사용하라는 것이다. “이렇게 할 경우 2018년에 발견된 취약점에 대한 익스플로잇을 방어할 수 있습니다.”

공격자들은 CVE-2018-18472 취약점을 발동시키기 위해 IP 주소들을 스캔한 것으로 보인다. 취약한 시스템을 찾은 후에는 접근하여 트로이목마를 일종의 리눅스 바이너리의 형태로 심었다. 이 트로이목마를 통해 시스템에 접근한 공격자는 이번에 발견된 제로데이 취약점을 통하여 장비를 공장 초기화시켰고, 이 때문에 데이터들이 사라졌다. 하지만 데이터를 빼낸 후 돈을 달라고 협박하는 식의 공격은 하지 않았다. 돈이 공격자들의 목적은 아닌 것으로 보인다.

어느 회사에서 만들었건 NAS 장비는 공격자들이 자주 노리는 표적이다. 2019년 한 랜섬웨어 공격 단체는 큐냅(QNAP)사에서 만든 NAS 장비들을 브루트포스 및 크리덴셜 스터핑 공격으로 공략한 후 랜섬웨어를 심기도 했다. 이 때 공격자들은 이미 알려진 취약점을 익스플로잇 했고, 이코랙스(eCh0raix)라는 멀웨어를 심었다. 이코랙스는 큐냅 NAS에 저장된 멀웨어를 암호화 했다.

현재까지 웨스턴 디지털의 마이북 장비 시리즈에 대한 패치는 추가로 나오지 않을 가능성이 높아 보인다. 장비의 생애주기가 끝났기 때문이다. 실제로 웨스턴 디지털 측도 “인터넷으로부터 장비를 분리하라”고만 촉구하고 있지 패치는 언급하지 않고 있다. 다만 “데이터 복구 서비스를 제공할 계획”이 있음을 발표하기는 했다. 이미 해외 포럼에서도 데이터 복구에 성공했다는 사례가 나오고 있기도 하다.

또한 웨스턴 디지털 측은 “마이 클라우드(My Cloud) 서비스로의 이전을 위한 특별 프로그램을 마이북 라이브와 마이북 라이브 듀오 사용자들에게 제공할 예정”이라고도 발표했다. 생애주기가 끝난 제품을 계속 사용하지 말고 좋은 가격에 회사가 계속해서 지원하고 패치하는 새로운 서비스로 옮길 것을 권장한 것이다. 패치가 나오지 않는다면 웨스턴 디지털 고객들로서는 이것이 유일한 선택지가 될 것으로 보인다.

3줄 요약
1. 얼마 전 웨스턴 디지털 NAS 삭제 사건 발생.
2. 2018년에 발견된 취약점이 의심됐으나, 추가 제로데이 취약점도 발견됨.
3. 공격자는 ‘공장 초기화’ 하는 데에서 만족한 듯. 금전적 요구 없었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...