Mirai의 공격을 받는 Zyxel 방화벽
많은 Zyxel 방화벽에 영향을 미치는 중요한 명령 주입 취약점인 CVE-2023-28771은 Mirai와 유사한 봇넷에 의해 활발히 악용되고 있으며 CISA의 알려진 악용 취약점(KEV) 카탈로그에 추가되었습니다.
CVE-2023-28771은 인증되지 않은 공격자가 조작된 IKE(인터넷 키 교환) 패킷을 영향을 받는 장치에 전송하여 원격으로 OS 명령을 실행할 수 있게 하는 취약점입니다.
2023년 4월 Zyxel에 의해 수정되었으며, 기술 문서 및 PoC가 공개되면 공격자가 빠르게 악용할 것으로 예상되었으며 실제로 그렇게 되었습니다.
"인터넷 키 교환(IKE)이 이 익스플로잇을 시작하는 데 사용되는 프로토콜이지만 IKE 자체의 취약점은 아니지만 프로덕션 빌드에 포함되어서는 안 되는 이 악성 디버깅 기능의 결과인 것 같습니다. 하지만 IKE는 이 취약점에 대한 경로가 트리거될 수 있는 유일한 알려진 프로토콜이기 때문에 IKE를 실행하는 Zyxel 장치만 실제로 이 공격에 취약할 가능성이 훨씬 더 높습니다."라고 Censys 연구원은 설명했습니다.
"이 취약점은 문제가 있는 로깅 기능에서 비롯됩니다. 파일 핸들을 열고 해당 핸들에 데이터를 쓰는 보안 파일 처리 메커니즘을 사용하는 대신 Zyxel은 다른 접근 방식을 선택했습니다. 즉, 사용자 제어 입력을 통합하여 "echo" 명령을 구성했습니다. 이 echo 명령은 이후에 system() 호출을 통해 실행되어 출력을 /tmp의 파일에 씁니다. 이 구현에서는 명령 구성 프로세스가 사용자 제어 가능한 입력에 의해 영향을 받을 수 있으므로 OS 명령 주입 벡터를 도입합니다. 데이터를 삭제하지 않습니다."
악용 시도는 5월 25일경에 시작되었으며 다양한 사이버 보안 회사와 조직에서 추적하고 있습니다.
Censys는 전 세계에서 잠재적으로 취약한 장치 21,210개를 찾아냈지만 주로 유럽(예: 이탈리아, 프랑스, 스위스)에 있었습니다.
"이러한 장치는 크고 작은 모든 종류의 주거 및 비즈니스 네트워크에 배포됩니다. 따라서 이러한 장치를 찾을 수 있는 네트워크의 대부분은 통신 및 기타 유형의 서비스 제공업체가 될 것입니다."라고 그들은 지적했습니다.
지금까지 패치가 적용되지 않은 취약한 장치는 손상된 것으로 간주되어야 하며 이미 공격(예: DDoS 공격)에 활용되고 있습니다.
손상을 해결하는 방법을 모르는 사용자는 서비스 공급자에게 도움을 요청해야 합니다. 제때에 필요한 업데이트를 구현한 사람들은 다시 업데이트하는 것이 좋습니다. Zyxel은 5월 24일 동일한 방화벽에서 두 가지 버퍼 오버플로 결함(CVE-2023-33009, CVE-2023-33010)을 수정하는 새로운 패치를 출시했습니다.