Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보4만 5천대 이상의 라우터를 공격한 UPnP NAT Injecion
작성일 2018-12-06 조회 120

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 

국내에만 취약점 대상 라우터 45,000건 존재

인터넷에 노출되지 않은 사설망에 대한 SMB 공격

 

 

 

[그림. 1] Shodan을 통해 취약점이 노출된 라우터

 

 

 


지난달 28일 Akamai(https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html)에서는 "UPNPROXY : ETERNALSILENCE" 공격에 대해서 발표했습니다.

 

Akamai 연구원에 따르면 UPnProxy 발견과 관련된 프로젝트를 진행하면서 Akamai의 연구자들은 Eternal Silence라고 불리는 새로운 공격군을 발견했다고 전하고 있습니다.


EternalSilence라는 이름은 공격자가 남긴 포트 매핑 설명에 따라 작명되었는데, 일반적으로 라우터의 NewPortMappingDescription 필드는 'Skype'와 같은 상태를 나타내는데, 이번 공격자는 'galleta silenciosa' 또는 'silent cookie / cracker'를 사용했습니다.

 


[그림. 2] 대상 라우터에서 발견된 EternalSilence Injection 사례 (https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html)

 

현재 주입이 확인된 45,113개의 라우터는 총 170만대의 시스템을 공격자에게 노출시키고 있습니다.

 

 

 


► 취약점 분석

 

해당 취약점은 다음과 같은 대상을 온라인에서 검색해 타겟팅 합니다.

 

UPnP 데몬의 포트 할당 : 2048 / TCP
xml 경로 ( /etc/linuxigd/gatedesc.xml )

 

 

Shodan을 통해 검색한 취약점이 노출된 라우터가 국내에만 45,000대 가량 존재합니다.

대상 시스템을 검색한 뒤 공격자는 TCP UPnP 데몬으로 피벗이 가능합니다.

 

(1) 취약점 대상 검색

 


[그림. 3] Shodan을 통한 공개된 취약점 장비

 

 

(2) 내부 사설망에 활성화된 웹데몬 서비스 확인


[그림. 4] 노출된 UPnP 프로토콜에 내부 로케이션 헤더

 

 

(3) 외부에서 내부의 XML 설정파일에 접근

 


[그림. 5] 외부에 노출된 XML

 

 

(4) 445/TCP, 139/TCP InternalPort를 포트맵핑 매서드를 통해 임의의 포트로 맵핑 노출
UPNP 취약점을 이용하면 공격자는 장치의 네트워크 주소 변환 (NAT) 테이블을 변경할 수 있습니다.

 


[그림. 6] NewPortMapping 매서드를 통해 445/TCP를 임의 포트로 매칭

 

 

(5) SMB 취약점을 이용해 라우터 뒤의 사설대역의 전 시스템에 SMB 취약점 공격
NAT 테이블에 임의의 규칙을 삽입해 공격자는 라우터 뒤의 SMB 장비에 접근이 가능합니다.

 


[그림. 7] Eternal Scanner

 

EternalBlue (CVE-2017-0144) : 쉐도우 브로커 (Shadow Brokers)에 의해 유출된 NSA 해킹툴로 모든 Windows 버전에 영향을 미치며 패치가 이루어진 후에도 (MS17-010) 취약점은 WannaCry 및 NotPetya등의 랜섬웨어 취약점으로 사용되고 있습니다.
EternalRed (CVE-2017-7494) : 리눅스 버전의 EternalBlue 취약점으로 Samba를 목표로 하고 Linux 기반 시스템까지 타겟으로 합니다. 해당 취약점은 수많은 암호화 마이닝 캠페인에 사용되어 왔으며 널리 SambaCry 취약점으로도 사용되었습니다.

 

 

 

(6) 사설대역의 SMB 취약점 공격이 가능한 공격자는 대규모 랜섬웨어 공격이나, 암호화폐 마이닝 캠페인으로 공격을 발전 시킬 수 있습니다.

 


[그림. 8] WannaCry 랜섬웨어

 


[그림. 9] SambaCry 취약점

 


이미 수 많은 시스템에 공격을 시도한 이상 사용자는 다음과 같은 방법으로 감염 여부 확인 해야 합니다.
대상 시스템의 쉘에서 XML의 포트맵핑 매서드에 삽입된 URL을 검사하는 방법입니다.

 

[그림. 10] 대상 시스템 감염 여부 확인 스크립트 (https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html)

 

 


► 취약시스템

 

ASUS DSL-AC68R
ASUS DSL-AC68U
ASUS DSL-N55U
ASUS DSL-N55U-B
ASUS MTK7620
ASUS RT-AC3200
ASUS RT-AC51U
ASUS RT-AC52U
ASUS RT-AC53
ASUS RT-AC53U
ASUS RT-AC54U
ASUS RT-AC55U
ASUS RT-AC55UHP
ASUS RTAC56R
ASUS RT-AC56S
ASUS RT-AC56U
ASUS RT-AC66R
ASUS RT-AC66U
ASUS RT-AC66W
ASUS RT-AC68P
ASUS RT-AC68R
ASUS RT-AC68U
ASUS RT-AC68W
ASUS RT-AC87R
ASUS RT-AC87U
ASUS RT-G32
ASUS RT-N10E
ASUS RT-N10LX
ASUS RTN10P
ASUS RT-N10PV2
ASUS RT-N10U
ASUS RT-N11P
ASUS RT-N12
ASUS RT-N12B1
ASUS RT-N12C1
ASUS RT-N12D1
ASUS RT-N12E
ASUS RT-N12HP
ASUS RT-N12LX
ASUS RT-N12VP
ASUS RT-N14U
ASUS RT-N14UHP
ASUS RT-N15U
ASUS RT-N16
ASUS RTN18U
ASUS RT-N53
ASUS RT-N56U
ASUS RT-N65R
ASUS RT-N65U
ASUS RT-N66R
ASUS RT-N66U
ASUS RT-N66W
ASUS RTN13U
ASUS SP-AC2015
ASUS WL500
D-Link DIR-601
D-Link DIR-615
D-Link DIR-620
D-Link DIR-825
D-Link DSL-2652BU
D-Link DSL-2750B
D-Link DSL-2750B-E1
D-Link DSL-2750E
D-Link DVG-2102S
D-Link DVG-5004S
D-Link DVG-N5402SP
D-Link RG-WBR2300
EFM networks ipTIME A1004 Series
EFM networks ipTIME A104NS
EFM networks ipTIME A2004NS
EFM networks ipTIME A3003NS
EFM networks ipTIME A3004NS
EFM networks ipTIME A5004NS
EFM networks ipTIME A704NS
EFM networks ipTIME G1 Series
EFM networks ipTIME G204 Series
EFM networks ipTIME G304 Series
EFM networks ipTIME G501
EFM networks ipTIME G504 Series
EFM networks ipTIME N1 Series
EFM networks ipTIME N2 Series
EFM networks ipTIME N300 Series
EFM networks ipTIME N5 Series
EFM networks ipTIME N6 Series
EFM networks ipTIME N7 Series
EFM networks ipTIME N8 Series
EFM networks ipTIME N904NS
EFM networks ipTIME NX505
EFM networks ipTIME Q1 Series
EFM networks ipTIME Q204
EFM networks ipTIME Q304
EFM networks ipTIME Q304
EFM networks ipTIME Q504
EFM networks ipTIME Q504
EFM networks ipTIME Q604
EFM networks ipTIME Smart
EFM networks ipTIME T1004
EFM networks ipTIME T1008
EFM networks ipTIME T2008
EFM networks ipTIME T3004
EFM networks ipTIME T3008
EFM networks ipTIME V1016
EFM networks ipTIME V1024
EFM networks ipTIME V104
EFM networks ipTIME V108
EFM networks ipTIME V108
EFM networks ipTIME V116
EFM networks ipTIME V116
EFM networks ipTIME V124
EFM networks ipTIME V304
EFM networks ipTIME V308
EFM networks ipTIME X1005
EFM networks ipTIME X3003
EFM networks ipTIME X305
EFM networks ipTIME X5005
EFM networks ipTIME X5007
Gigalink EM4570
HP LaserJet 9500n plus Series Printers, GR112
IP-COM R5
IP-COM R7
IP-COM R9
IP-COM T3
NETGEAR R2000
NETGEAR WNDR3700
NETGEAR WNDR4300v2
NETGEAR WNR2000v4
Zyus VFG6005N
Zyus VFG6005
ZyXel Internet Center
ZyXel Keenetic
ZyXel Keenetic 4G
ZyXel Keenetic DSL
ZyXel Keenetic Giga II
ZyXel Keenetic II
ZyXel Keenetic Lite II
ZyXel Keenetic Start
ZyXel NBG-416N Internet Sharing Gateway
ZyXel NBG-418N Internet Sharing Gateway
ZyXel NBG4615 Internet Sharing Gateway
ZyXel NBG5715 router, X150N Internet Gateway Device

 

 


► 대응 방안

 

1.장비의  UPnP 기능을 비활성화
2.라우터 자체를 재부팅하거나 라우터를 원래의 공장 설정으로 플래싱하고 완전히 비활성화 된 UPnP로 구성
3.일부 라우터는 이 문제점에 대한 수정 사항을 게시했을 수 있으므로 펌웨어 업데이트를 확인
4.다음과 같은 비정상 트래픽 탐지시 공격으로 차단

1) 대상 서버가 1900/UDP UPnP 기능을 제공
2) POST /etc/linuxigd/gatedesc.xml 요청
3) NewInternalPort 값이 135 또는 445
4) NewExternalPort가 알려지지 않은 Port
5) NewPortForwardingDescription에 'Skype'와 같은 정상 값이 아닌 공격자 임의의 값 삽입

 

 

 

► WINS Sniper 대응방안

 

Sniper-IPS

[4608] UPnProxy Port Forwarding EternalSilence Injection

[추가 정보]

Windos SMB 취약점 대응 패턴 (CVE-2017-0144)

[3477],[3484],[3500],[3501],[5930],[5931],[3504],[3505],[3582],[3583],[3584],[4089],[4090],[4091]

Linux SMB 취약점 대응 패턴 (CVE-2017-7494)

[3508],[3524],[3525],[3526],[3527],[3610]

 

Sniper-UTM

[805374758] UPnProxy Port Forwarding EternalSilence Injection

[추가 정보]

Windos SMB 취약점 대응 패턴 (CVE-2017-0144)

[805374081],[805374087],[805374100],[805374101],[838861168],[838861169],[838861170],[805374103],[805374140],[805374141],[805374142],[805374435],[805374436],[805374437]

Linux SMB 취약점 대응 패턴 (CVE-2017-7494)

[805374104],[805374116],[805374117],[838861177],[838861178],[838861205]

 

Sniper-APTX

[3864] UPnProxy Port Forwarding EternalSilence Injection

[추가 정보]

Windos SMB 취약점 대응 패턴 (CVE-2017-0144)

[2247],[2248],[2719],[2718],[2715],[2716],[2713],[2712],[2653],[2652],[2653],[3320],[3321],[3322]

Linux SMB 취약점 대응 패턴 (CVE-2017-7494)

[2699],[2738],[2736],[2734],[2732],[2793]

 

 

 

 

► 참조
https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html

첨부파일 첨부파일이 없습니다.
태그 UPNPROXY  ETERNALSILENCE  CVE-2017-0144  CVE-2017-7494  EternalRed