2019.06.19

"미라이, 이제는 SD-WAN 장비도 노린다"

Jon Gold | Network World
인터넷에 연결된 기기 수십만 대를 해킹해 DDoS 공격을 실행하는 소프트웨어 미라이(Mirai)가 이제는 단순히 사물인터넷(IoT) 기기만 노리는 것이 아니다. 미라이 코드 속에 기업 SD-WAN 속 보안 취약점을 찾는 기능까지 추가됐기 때문이다.



최근 VM웨어는 자사 SD-WAN 어플라이언스인 SDX 제품군의 보안 취약점을 수정한 소프트웨어 업데이트를 배포했다. 이 사실은 미라이 제작자가 보안 카메라나 셋톱 박스 같은 기기를 넘어 보안 취약점을 가진 모든 기기로 눈을 돌리고 있음을 보여준다. 여기에는 기업용 네트워크 장비도 포함된다. 팔로알토 네트웍스(Palo Alto Networks) 유닛 42(Unit 42)의 위협 연구 담당 국장 젠 밀러 오스본은 최근 미라이에 관한 보고서를 발표하고 "미라이가 가능한 모든 기기를 다 수집하는 위기에 직면하고 있다"라고 말했다. 

 SD-WAN 어플라이언스를 악용하는 것은 미라이의 새로운  악용은 미라이의 새로운 를 위한 새로운 출발이지만 미라이 제작 방식의 급격한 변화는 아니다. 밀러 오스본은 "이번 변화는 단순하다. 그것이 무엇이든 상관없이 새 기기를 봇넷에 추가하겠다는 것이다. 그러나 SD-WAN 기기가 표적이 되고 있다는 점은 SD-WAN 기능 관련된 모든 작업이 더 위험에 노출됐다는 의미다"라고 말했다.

이 취약점 자체는 지난해 독립 연구팀이 발견해 VM웨어에 통보했고 이후 버전에서 바로 수정됐다. 그러나 이 취약성을 악용하는 방식이 최근 발견된 미라이 변종에 포함된 것이 확인됐다. 유닛 42에 따르면, 미라이 제작자들은 그동안 새 목표를 추가해 소프트웨어를 업데이트해 왔다. 이들 봇허드(botherder, 봇을 조작하는 사람)는 본래 제품을 구매한 후 기본 계정으로 운영하는 기기를 목표로 삼아 왔다. 그러나 이제는 다양한 종류의 다른 기기에 보안 취약점을 찾아 악용하는 것으로 전략을 바꾸고 있다. 이 악성코드의 최신 변종은 미라이 8종이 확인됐다.

이 보안 취약점을 해결한 VM웨어 SD-WAN 버전은 SD-WAN 엣지 3.1.2다. VM웨어 보안 권고에 따르면, 이 취약점은 SD-WAN 엣지 3.1.1 혹은 그 이하 버전에서 여전히 영향을 준다. 유닛 42 보고서가 나온 이후 VM웨어는 블로그를 통해 내부적으로 이 문제를 검토하고 있다고 밝혔다.

특정 SD-WAN이 미라이에 감염됐는지 여부를 찾아내는 것은 네트워크 적소에서 어떻게 모니터링하는지 그 수준에 따라 크게 좌우된다. IT 직원에 비정상적인 트래픽이나 감염된 장비를 알려주는 기능을 지원하는 제품을 사용하면 이런 활동을 감지할 수 있다. 이런 제품이 없으면 문제가 발생했을 지 알기 쉽지 않다. 밀러 오스본은 "이런 모니터링을 하지 않으면 실무자가 부하가 갑자기 치솟는 것을 보거나 혹은 외부에서 알려주지 않으면 미라이에 감염된 지도 모를 수 있다"라고 말했다. ciokr@idg.co.kr



2019.06.19

"미라이, 이제는 SD-WAN 장비도 노린다"

Jon Gold | Network World
인터넷에 연결된 기기 수십만 대를 해킹해 DDoS 공격을 실행하는 소프트웨어 미라이(Mirai)가 이제는 단순히 사물인터넷(IoT) 기기만 노리는 것이 아니다. 미라이 코드 속에 기업 SD-WAN 속 보안 취약점을 찾는 기능까지 추가됐기 때문이다.



최근 VM웨어는 자사 SD-WAN 어플라이언스인 SDX 제품군의 보안 취약점을 수정한 소프트웨어 업데이트를 배포했다. 이 사실은 미라이 제작자가 보안 카메라나 셋톱 박스 같은 기기를 넘어 보안 취약점을 가진 모든 기기로 눈을 돌리고 있음을 보여준다. 여기에는 기업용 네트워크 장비도 포함된다. 팔로알토 네트웍스(Palo Alto Networks) 유닛 42(Unit 42)의 위협 연구 담당 국장 젠 밀러 오스본은 최근 미라이에 관한 보고서를 발표하고 "미라이가 가능한 모든 기기를 다 수집하는 위기에 직면하고 있다"라고 말했다. 

 SD-WAN 어플라이언스를 악용하는 것은 미라이의 새로운  악용은 미라이의 새로운 를 위한 새로운 출발이지만 미라이 제작 방식의 급격한 변화는 아니다. 밀러 오스본은 "이번 변화는 단순하다. 그것이 무엇이든 상관없이 새 기기를 봇넷에 추가하겠다는 것이다. 그러나 SD-WAN 기기가 표적이 되고 있다는 점은 SD-WAN 기능 관련된 모든 작업이 더 위험에 노출됐다는 의미다"라고 말했다.

이 취약점 자체는 지난해 독립 연구팀이 발견해 VM웨어에 통보했고 이후 버전에서 바로 수정됐다. 그러나 이 취약성을 악용하는 방식이 최근 발견된 미라이 변종에 포함된 것이 확인됐다. 유닛 42에 따르면, 미라이 제작자들은 그동안 새 목표를 추가해 소프트웨어를 업데이트해 왔다. 이들 봇허드(botherder, 봇을 조작하는 사람)는 본래 제품을 구매한 후 기본 계정으로 운영하는 기기를 목표로 삼아 왔다. 그러나 이제는 다양한 종류의 다른 기기에 보안 취약점을 찾아 악용하는 것으로 전략을 바꾸고 있다. 이 악성코드의 최신 변종은 미라이 8종이 확인됐다.

이 보안 취약점을 해결한 VM웨어 SD-WAN 버전은 SD-WAN 엣지 3.1.2다. VM웨어 보안 권고에 따르면, 이 취약점은 SD-WAN 엣지 3.1.1 혹은 그 이하 버전에서 여전히 영향을 준다. 유닛 42 보고서가 나온 이후 VM웨어는 블로그를 통해 내부적으로 이 문제를 검토하고 있다고 밝혔다.

특정 SD-WAN이 미라이에 감염됐는지 여부를 찾아내는 것은 네트워크 적소에서 어떻게 모니터링하는지 그 수준에 따라 크게 좌우된다. IT 직원에 비정상적인 트래픽이나 감염된 장비를 알려주는 기능을 지원하는 제품을 사용하면 이런 활동을 감지할 수 있다. 이런 제품이 없으면 문제가 발생했을 지 알기 쉽지 않다. 밀러 오스본은 "이런 모니터링을 하지 않으면 실무자가 부하가 갑자기 치솟는 것을 보거나 혹은 외부에서 알려주지 않으면 미라이에 감염된 지도 모를 수 있다"라고 말했다. ciokr@idg.co.kr

X