넷링크 기가빗 패시브 옵티컬 네트웍스 라우터 시리즈에서 원격 코드 실행 취약점 발견
OEM 통해 9개 제조사로도 퍼져...넷링크 측의 패치는 기대하기 힘든 상황

[보안뉴스 문가용 기자] 파이버 라우터들에서 발견된 제로데이가 갑자기 여러 봇넷들의 표적이 되고 있다는 소식이다. 봇넷은 취약한 라우터들을 자신의 부대로 편입시켜 디도스 공격 등 각종 악성 행위를 하고 있다고 보안 전문가들이 전했다.


이런 행위에 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다.

중국의 보안 업체 치후360(Qihoo 360)은 자사 블로그를 통해 “최근 넷링크 라우터에서 발견된 제로데이 취약점을 표적으로 삼는 시도가 여러 차례 발견되고 있다”며 “개념증명 코드가 공개되기 이전부터 (이러한 시도가) 있어왔지만, 공개 이후 더 많이 늘었다”고 밝혔다. 그러면서 개념증명 코드를 실제 공격에 가장 먼저 성공적으로 활용한 건 무봇(Moobot)이라는 봇넷이라고 지적했다. 공격 성공 시점은 지난 2월인 것으로 보인다.

치후360은 지난 3월 제로데이 취약점을 발견한 이후 넷링크 측에 먼저 알렸으나, “공격의 표적이 된다고 하더라도 장비의 디폴트 설정에는 아무런 영향을 미칠 수 없다”는 답이 되돌아왔다. 하지만 치후360은 이것이 틀린 주장이라고 반박했다.

그 후 공격은 더 심화되고 있는 중이다. 제로데이 취약점을 노리려는 봇넷의 개수도 이전보다 늘어났다. 그러면서 이러한 공격에 영향을 받는 제조사들도 9개로 늘어났다고 한다. 아마도 같은 OEM을 사용하고 있기 때문이라고 치후360은 분석한다. 하지만 치후360은 이 9개 제조사들을 분명히 밝히지 않고 있다.

현재 한 달 전 공개된 개념증명용 익스플로잇을 가장 활발하게 활용하고 있는 봇넷은 가프짓(Gafgyt)과 에프봇(Fbot)이라고 한다. 에프봇의 또 다른 이름은 사토리(Satori)다. 하지만 다행스럽게도 이 봇넷들의 성공률 자체는 그리 높지 않은 것으로 나타났다. “개념증명용 코드가 다른 취약점과 연계되었을 때 제대로 효과를 발휘하도록 설계되어 있기 때문입니다.”

현재 시점까지 문제의 제로데이 취약점을 가장 성공적으로 익스플로잇 하고 있는 건 무봇이 유일한 것으로 나타났다. 무봇과 다른 봇넷 운영자들의 차이점은 공개된 개념증명용 익스플로잇의 사용 여부에 있다. 무봇 공격자들은 자신들만의 익스플로잇을 개발해 사용하고 있다. 치후360은 “개념증명용 코드는 다른 취약점 익스플로잇을 성공했을 때 발동되며, 그 전제조건이 성립되지 않는 이상 실패만을 보장할 것”이라고 말했다.

치후360 측은 “라우터 사용자들은 펌웨어 업데이트를 확인하고, 할 것이 있다면 늦지 않게 적용해야 한다”고 권장했다. 또한 “디폴트 계정이 있다면 삭제하고, 디폴트 비밀번호가 걸려 있다면 수정해야 할 것”이라고도 덧붙였다.

보다 상세한 기술 정보는 치후360의 블로그(https://blog.netlab.360.com/multiple-fiber-routers-are-being-compromised-by-botnets-using-0-day-en/)를 통해 열람이 가능하다.

3줄 요약
1. 넷링크에서 만든 파이버 라우터 제품 일부에서 제로데이 발견됨.
2. 제조사가 취약점을 인정하지 않는 가운데, 개념증명 익스플로잇이 공개됨.
3. 현재 이 제로데이 노리는 봇넷의 활동 증가 중에 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>