보안업체 팔로알토 네트워크 Unit42 연구원은 IoT 공격 패턴을 밝히던 중, 명령 주입 취약점을 악용한 두 가지 활동에서 Mirai 변종 네 가지를 발견했다.

연구원들은 서버가 구성이 다른 여러 장치에 존재하기 때문에 취약한 장치를 실시간으로 식별하는 것이 더 어려워졌다고 밝히며 이번 연구를 통해 관찰된 2개의 취약점과 4개의 Mirai 변종을 분석했다.

발표에 따르면 최근 총 4개의 Mirai 변종이 발견되었고 두 가지 취약점이 사용되었는데, 이 취약점으로 악성코드가 전달되면 wget 유틸리티가 호출, Shell 스크립트를 다운로드 하게 된다. 아래의 그림처럼 첫 번째 취약점은 NTP 서버 설정 기능이 있는 웹 서버의 명령 주입 취약점을 악용한다. 서버가 HTTP 매개 변수 NTP_SERVER 값을 지울 수 없어 임의 명령이 실행되었다.

알 수없는 기기의 IoT 취약성을 표적으로 삼는 첫 번째 취약성은 NTP 서버 설정 기능을 사용하여 웹 서비스의 명령 주입 취약성을 표적으로 삼습니다.
그림1. 네트워크 명령을 통한 취약점 주입

보안 연구원은 공격 트래픽에서 얻은 단서를 기반으로 HTTP를 통해 동기화할 수 있는 것으로 알려진 IoT 장치로 범위를 좁히고 일부 IoT 장치의 펌웨어에서 취약한 NTP 서버 처리 방식을 발견했다. 문제는 일부 공급 업체가 위 펌웨어를 실행하는 제품을 지원하지 않는다는 것이다. 그림2는 라이브러리 모듈에서 발견되는 유형의 취약한 기능을 보여준다. 연구원들이 분석한 펌웨어에는 이처럼 안전하지 않은 기능이 있지만 다행히도 이러한 펌웨어에는 대상 URI(Uniform Resource Identifier)가 없기 때문에 이 특정 공격의 영향을 받지 않는다. HTTP를 통해 동기화될 수 있는 다른 IoT 장치를 계속 분석함에 따라 영향을 받는 제품을 꾸준히 식별하고 있다.

이는 라이브러리 모듈에서 발견되는 취약한 기능인 IoT 취약성 중 하나의 예를 보여줍니다.
그림2. 펌웨어 內 취약 코드

결론적으로 IoT 장치 보안은 여전히 우려되고 있다. IoT 보안의 가장 큰 과제는 더 이상 지원되지 않는 IoT 장치가 여전히 사용되고 있다는 것이다. 불행히도 펌웨어의 결함은 수명과 지원이 끝나도 사라지지 않는다. 이에 고객을 보호하기 위한 여러 조치를 취해야 한다.

[출처 : 팔로알토 네트워크 / 10.20.]