활발한 공격을 받고있는 수십 개의 Zyxel 및 Lilin IoT 모델의 치명적 버그

활발한 공격을 받고있는 수십 개의 Zyxel 및 Lilin IoT 모델의 치명적 버그
DDoS 봇넷은 IoT 결함을 악용하여 취약한 장치를 징집합니다. 당신의 패치가 있습니까?

범죄자들은 ​​분산 된 서비스 거부 (DoS) 공격을 수행하는 봇넷에 두 개의 다른 제조업체의 인터넷 사물 인터넷 장치에 대한 중요한 결함을 이용하고 있다고 이번 주 연구원들은 말했다. Lilin의 DVR과 Zyxel의 저장 장치는 모두 영향을 받으므로 사용자는 가능한 빨리 업데이트를 설치해야합니다.

보안 회사 Qihoo 360의 연구원들은 금요일에 여러 공격 그룹이 Flin , Chalubo 및 Moobot 으로 알려진 DDoS 봇넷에 침입하기 위해 Lilin DVR 취약점을 악용하고 있다고 밝혔다 . 후자의 두 봇넷은 수십만 개의 IoT 장치를 사용 하여 기록적인 양의 정크 트래픽으로 사이트 를 공격 하는 봇넷 인 Mirai의 분사입니다 .

DVR 취약점은 공격자가 원격으로 장치에 악성 명령을 주입 할 수있는 3 가지 결함에서 비롯됩니다. 버그는 (1) 장치에 하드 코딩 된 로그인 자격 증명, (2) 명령 주입 결함 및 (3) 임의의 파일 읽기 취약점입니다. 주입 된 매개 변수는 파일 전송 프로토콜, 네트워크 시간 프로토콜 및 네트워크 시간 프로토콜의 업데이트 메커니즘에 대한 장치 기능에 영향을줍니다.

지난 8 월 말, Qihoo 360 연구원들은 공격자가 NTP 업데이트 벡터를 이용하여 Chalubo로 장치를 감염시키는 것을 보았습니다. 1 월, 연구원들은 공격자들이 FTP와 NTP 결함을 이용하여 FBot을 확산시키는 것을 보았습니다. 같은 달, Qihoo 360은 결함을 Lilin에보고했습니다. 그로부터 7 일 후, 연구원들은 FTP 취약점의 사용을 통해 Moobot 확산을 감지했습니다. Lilin은 2 월 중순 에 펌웨어 2.0b60_20200207 의 출시로 결함을 수정했습니다 . 취약점을 추적하는 데 사용되는 CVE 지정은 알려져 있지 않습니다.
Qihoo 360의 보고서는 보안 회사 인 Palo Alto Networks의 연구원들이 Zyxel의 네트워크 연결 스토리지 장치에서 최근에 수정 된 취약점도 적극적으로 악용되고 있다고보고 한 후 하루 만에 이루어졌습니다 . 공격자들은 최근에 발견 된 Mukashi로 알려진 또 다른 Mirai 변종을 설치하기 위해이 익스플로잇을 사용하고있었습니다. 사전 인증 명령 주입 결함으로 인해 장치에서 명령을 실행할 수있었습니다. 여기에서 공격자는 쉽게 추측 할 수있는 암호를 사용하는 장치를 인계 할 수있었습니다. 이 취약점은 악용하기 쉬워 10에서 10 점 중 9.8 점을 받았습니다.

ZYXEL 자문 목록 CVE-2020-9054로 추적 된 취약점에 의해 영향을받은 27 개 이상의 제품. 제조업체가 발표 한 패치로 많은 장치가 수정되었지만 10 개 모델은 더 이상 지원되지 않았습니다. Zyxel은 지원되지 않는 이러한 장치를 더 이상 인터넷에 직접 연결하지 않는 것이 좋습니다.

이러한 취약점 중 하나에 의해 영향을받는 Lilin 또는 Zyxel 사용자는 장치에 패치를 설치해야합니다. 패치 할 수없는 장치는 새 장치로 교체해야합니다. 또한 네트워크 방화벽 뒤에 장치와 다른 IoT 장치를 배치하여 해킹을 더욱 어렵게 만드는 것이 현명합니다. 운영자는 종종 이러한 장치에 원격으로 액세스하는 편리함을 좋아하므로 잠금이 더 어려워집니다. IoT 장치의 버그가 많고 안전하지 않은 장치라는 명성은 IoT 장치가 외부 연결에 노출 된 상태로두면 네트워크 (실제로 전체 인터넷)가 위험에 노출 될 수 있음을 나타냅니다.