해커들, 전 세계 15,000대의 산업용 라우터에서 취약점을 악용

해커들이 중국에서 제조된 Four-Faith 산업용 라우터의 심각한 보안 결함을 노리고 있습니다.

이슈는 CVE-2024-12856으로 확인되었으며, F3x24와 F3x36 모델에 영향을 미칩니다. 이는 공격자가 기본 로그인 자격증명을 악용하여 라우터를 원격으로 제어할 수 있게 하여 수천대의 기기를 위험에 빠뜨리게 합니다. 보안 연구원들이 VulnCheck에서 이 문제를 보고하였습니다.

VulnCheck의 최고 기술 책임자인 Jacob Baines는 그의 팀이 DucklingStudio가 11월에 게시한 블로그에서 언급된 동일한 사용자 에이전트를 감지했다고 보고했습니다. 이 사용자 에이전트는 취약점을 악용하여 다른 맬웨어 페이로드를 배포하려고 시도했습니다. 또한 Baines는 이 결함이 어떻게 악용될 수 있는지를 보여주는 비디오를 공유했습니다.

Gov Security Info에 따르면, Four-Faith 라우터는 원격 모니터링과 제어가 필요한 산업에서 주로 사용됩니다. 대표적인 고객층으로는 공장, 제조 시설, 산업 자동화 시스템, 전력망, 재생 에너지 시설, 상수도 서비스, 그리고 운송 회사들이 있습니다.

이 라우터들은 차량 관리 및 추적과 같은 작업을 위한 실시간 데이터 전송을 지원합니다. 연구자들은 Censys 보고서를 기반으로, 약 15,000개의 온라인 접근 가능한 장치들이 이 공격에 취약하다고 추정하고 있습니다.

이런 악용은 공격자들이 리버스 쉘(reverse shell)을 실행하게 해주어, 라우터에 무단으로 접근할 수 있게 합니다. 리버스 쉘 공격에서는 공격자들이 취약점을 악용하여 희생자의 기계를 자신들의 서버에 연결시키고, 원격 제어, 데이터 도용, 악성 코드 배포, 그리고 명령어를 통한 안전한 네트워크 접근을 가능케 합니다. 이는 CheckPoint에서 지적했습니다.

Cyberscoop은 이 취약점이 Mirai의 변형과 연관되어 있을 수 있음을 보고하였는데, Mirai는 사물인터넷(IoT) 장치를 대상으로 하는 악명 높은 악성 코드 및 봇넷입니다. 2016년 처음 감지되었으며, 처음에는 청소년들이 봇넷을 만들기 위해 개발한 Mirai는 전 세계 IoT 장치에 대한 주요 위협으로 남아있습니다.

Zscaler의 자료에 따르면 2023년 6월부터 2024년 5월까지의 IoT 악성 코드 공격 중 Mirai가 3분의 1 이상을 차지했으며, 이는 다른 악성 코드 계열을 크게 앞섰습니다. 또한 이 기간 동안 차단된 IoT 거래의 75% 이상이 Mirai의 악성 코드와 관련이 있었다고 Cyberscoop이 보고했습니다.

Gov Security Info에 따르면, Four-Faith는 12월 20일에 VulnCheck의 책임감 있는 공개 정책에 따라 취약점에 대해 알려졌습니다. 패치나 펌웨어 업데이트에 대한 자세한 정보는 현재 공개되지 않았습니다.

연구자들은 영향을 받은 라우터 모델의 사용자들에게 기본 자격증명을 변경하고, 네트워크 노출을 제한하며, 기기 활동을 철저히 모니터링하도록 권장합니다.