지난 7월 첫째 주, F5 BIG-IP 취약점이 처음으로 발견된 이후 우리는 지속적으로 이 취약점과 관련한 활동을 모니터링 및 분석했다. CVE-2020-5902 취약점에 대해 발표된 해결책에 따르면 사물인터넷(IoT)에 미라이(Mirai) 봇넷 다운로더가 CVE-2020-5902 취약점을 이용한다는 것을 알 수 있었다. 침입에 사용하는 Big-IP 박스는 악성 페이로드를 전달한다.

또한 이번에 발견된 샘플은 패치되지 않은 취약점을 악용하는 것으로 보여진다. 따라서 시스템 관리자를 포함해 관련 장비를 사용하는 개인은 즉시 해당 도구를 패치하는 것이 좋다.

이전에 보고된대로 해당 취약점은 BIG-IP 관리 인터페이스의 원격 코드 실행(RCE) 취약점, 즉 교통 관리 사용자 인터페이스(TMUI, Traffic Management User Interface)와 관련 있다. 이 취약점은 Apache httpd 규칙에서 악용되는데, 그 중 한 가지 방법이 URI에 세미콜론[;] 문자를 포함하는 HTTP GET 요청과 관련 있음을 확인했다. 리눅스 명령줄에서 세미콜론은 명령줄이 완료되었음을 알리는 것인데, 추가 분석을 위해 IoT 봇넷 작성자는 야라(Yara) 규칙을 통해 이 멀웨어가 스캔 기능을 추가할 수 있는지 테스트한 것으로 알려졌다.

자세한 내용은 트렌드마이크로(Trend Micro) 보고서 “Marai Botnet Exploit Weaoonized to Attack IoT Devices via CVE-2020-5902” 참고.

[출처: 해커뉴스 / 20.08.07.]