PolarEdge Botnet Exploits Cisco and Other Flaws to Hijack ASUS, QNAP, and Synology Devices
- PolarEdge 봇넷 개요
- 2023년 말부터 Cisco, ASUS, QNAP, Synology 등의 엣지 장비를 감염시켜 봇넷 구축
- CVE-2023-20118 (CVSS 점수 6.5) 취약점 활용하여 Cisco Small Business 라우터 공격
- 해당 취약점은 장비의 수명이 종료(EoL)되어 패치 불가능, Cisco는 원격 관리 비활성화 및 포트(443, 60443) 차단을 권장
- 악성코드 전개 방식
- FTP를 통해 "q" 스크립트를 다운로드하여 실행
- 감염 후 "t.tar" 페이로드 다운로드 및 "cipher_log" 바이너리 실행
- 지속성을 확보하기 위해 "/etc/flash/etc/cipher.sh" 파일을 수정하여 반복 실행
- 감염된 장비에서 C2 서버로 감염 성공 여부 및 IP/포트 정보 전송
- 감염 확산 및 공격 영향
- ASUS, QNAP, Synology 장비에서도 동일한 페이로드 발견
- 감염된 장비 정보가 대만에서 VirusTotal에 업로드됨
- 전 세계 2,017개 IP 주소 감염 (미국, 대만, 러시아, 인도, 브라질, 호주, 아르헨티나 등)
- 봇넷의 목적은 아직 명확하지 않으나, 공격을 위한 중계 장치(Operational Relay Box)로 활용 가능성 제기
- Microsoft 365 대상 대규모 비밀번호 스프레이 공격
- 13만 개 이상의 감염된 장비로 Microsoft 365 (M365) 계정 공격
- 비대화형 로그인 및 기본 인증(Basic Authentication) 취약점을 이용하여 다중요소 인증(MFA) 우회
- 중국 연계 공격 그룹이 CDS Global Cloud 및 UCLOUD HK 인프라를 활용하여 침해 계정 정보 유출
- 보안팀이 간과하기 쉬운 비대화형 로그인 로그를 악용하여 대량 계정 공격 수행
- 결론
- 패치 불가능한 취약점이 존재하는 장비는 사용 중단 또는 대체 필요
- 네트워크 장비의 원격 관리 기능 비활성화 및 불필요한 포트 차단 권장
- 비밀번호 스프레이 공격 대응을 위해 비대화형 로그인 모니터링 및 강력한 인증 방식 적용 필요
- 클라우드 및 SaaS 보안 강화를 위한 정책 수립 필수
- 최신 위협 인텔리전스를 기반으로 한 보안 대응 체계 마련 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA, 신규 악용 취약점 목록에 다수의 보안 취약점 추가(2025.03.04) (0) | 2025.03.17 |
|---|---|
| GitLab 취약점, 보안 우회 및 악성 스크립트 실행 가능성 발견 (0) | 2025.03.15 |
| LibreOffice 취약점, 윈도우에서 악성 파일 실행 가능성 발견 (0) | 2025.03.15 |
| Cisco Nexus 스위치 취약점 패치 및 보안 권고 (0) | 2025.03.15 |
| CISA, Microsoft Partner Center 및 Synacor Zimbra Collaboration Suite 취약점 '알려진 악용 취약점(KEV)' 카탈로그에 추가 (0) | 2025.03.10 |