IoT 기기를 대상으로 한 IoT 리퍼(Reaper), 루프(roop) 봇넷 주의
2019.06.10 02:31
| □ 개요 o IoT 기기를 대상으로 한 IoT 리퍼(Reaper), IoT 루프(roop) 봇넷이 국외에서 발견 o IoT 리퍼, 루프 감염 시 DDoS 공격에 악용될 수 있어 사용자 주의가 필요함 □ 설명 o IoT 리퍼, 루프 악성코드는 관리자 인증 우회 및 원격 코드 실행 취약점 등을 악용하여 IoT 단말 (IP 카메라, 라우터 등)을 감염시킴 o 악성코드에 감염된 IoT기기는 명령지 서버에 감염 단말기 정보(Mac주소, 제품정보, 버전 등)를 전송하고 추가 악성코드를 다운로드 o 이후, 명령지 서버에 따라 DDoS 공격을 수행 및 취약한 단말 스캔 결과 전송 ※ 100여 개(중국 94개, 미국 5개, 러시아 1개)의 오픈 DNS IP가 포함 □ 영향을 받는 IoT 기기 o 아래 참고사이트를 확인하여 제조사별 상세 정보 확인 o D-LINK - D-LINK 850L 원격코드실행 취약점 [1] - DIR-600/300 원격코드실행 취약점 [2] o Goahead - 원격코드실행 취약점 [3] o JAWS - 웹 인증 우회 취약점 [4] o Netgear - ReadyNAS 원격코드실행 취약점 [5] - DGN 원격코드실행 취약점 [6] o Vacron - 원격코드실행 취약점 [7] o Linksys - 원격코드실행 취약점 [8] o AVTECH - 인증정보노출 및 원격코드실행 취약점[9] o TP-Link - 디렉터리 인증 우회 취약점[10] o MikroTik - 인증우회 및 서비스 거부 취약점[11] o Synology - 원격코드실행 취약점[12] □ 해결 방안 o 해당 제품 사용자는 제조사 홈페이지를 확인하여 최신 펌웨어 업데이트 확인 및 설치 o 가능한 경우 IoT 기기를 인터넷에 직접 연결하지 않고 사용 권고 o IoT 기기의 초기 관리자 패스워드를 안전하게 변경하여 사용 o 영향 받는 IoT 기기의 맥주소는 http://macaddress.webwat.ch/ 사이트를 통해 검색하여 탐지 및 대응 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://blogs.securiteam.com/index.php/archives/3364 [2] http://www.s3cur1ty.de/m1adv2013-003 [3] https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html [4] https://www.pentestpartners.com/blog/pwning-cctv-cameras/ [5] https://blogs.securiteam.com/index.php/archives/3409 [6] http://seclists.org/bugtraq/2013/Jun/8 [7] https://blogs.securiteam.com/index.php/archives/3445 [8] http://www.s3cur1ty.de/m1adv2013-004 [9] https://github.com/Trietptm-on-Security/AVTECH [10] http://www.s3cur1ty.de/m1adv2013-011 [11] http://seclists.org/fulldisclosure/2015/Mar/49 [12] http://www.kb.cert.org/vuls/id/615910 |