Kant's IT/Vulnerability
디링크 오래된 장비에서 발견된 취약점 악용 사례 분석
Kant Jo
2025. 1. 14. 14:43
디링크의 오래된 장비들에서 나온 취약점, 공격자들이 지속적으로 노려
디링크의 오래된 장비들에서 나온 취약점, 공격자들이 지속적으로 노려
디링크(D-Link)에서 만든 오래된 장비들의 오래된 취약점들이 꾸준한 공격 대상이 되고 있다. 보안 업체 포티넷(Fortinet)은 최근 두 가지 봇넷이 디링크의 장비를 집중적으로 노리며 확장되고 있는
www.boannews.com
- 사건 개요
- 디링크(D-Link)의 일부 오래된 라우터 장비에서 발견된 구형 취약점이 공격자들에게 지속적으로 악용됨
- 최근 두 개의 봇넷(피코라(Ficora), 캡사이신(Capsaicin))이 이러한 취약점을 활용해 확산 중
- 약 10년 전에 패치된 취약점조차 여전히 악용되고 있어 사용자와 조직의 보안 관리 소홀 문제가 부각됨
- 취약한 장비 및 주요 CVE
- 취약점 영향을 받는 장비
- DIR_645 유선/무선 라우터 (Rev. Ax, 펌웨어 1.04b12 및 이전 버전)
- DIR-806 장비
- GO-RT-AC750 (GORTAC750_revA_v101b03 및 GO-RT-AC750_revB_FWv200b02)
- DIR-845L 라우터 (v1.01KRb03 및 이전 버전)
- 악용되는 주요 CVE
- CVE-2015-2051: 약 10년 전 발견된 취약점
- CVE-2019-10891: 2019년 발견된 취약점
- CVE-2022-37056: 2022년 발견된 취약점
- CVE-2024-33112: 최신 보고된 취약점
- 취약점 영향을 받는 장비
- 봇넷 활동 분석
- 피코라(Ficora)
- 미라이(Mirai) 봇넷의 변종
- 네덜란드 서버에서 전 세계로 확산 중
- 캡사이신(Capsaicin)
- 카이텐(Kaiten) 봇넷의 변종
- 2024년 10월 동아시아 지역에서 집중 활동
- 두 봇넷 모두 라우터의 취약점을 통해 시스템 제어권 탈취를 목적으로 활동
- 피코라(Ficora)
- 시사점
- 패치 미적용 문제: 약 10년 전에 패치된 취약점이 여전히 악용되는 현실은 사용자의 보안 소홀성을 보여줌
- 라우터 보안 관리 부족: 가정 및 기업용 라우터 관리 체계가 부재하거나 취약
- 공격의 글로벌화: 특정 지역이나 산업이 아닌 전 세계적으로 확산 가능성이 높음
- 보안 권고
- 펌웨어 및 소프트웨어 업데이트
- 라우터 제조사의 최신 펌웨어 업데이트 확인 및 즉시 적용
- 자동 업데이트 설정 권장
- 포괄적 모니터링 체제 구축
- 네트워크 트래픽 및 장비 활동을 실시간으로 감시하는 모니터링 시스템 도입
- 이상 행위 탐지 및 신속한 대응 체계 마련
- 장비 교체
- 제조사의 지원이 종료된 장비는 신규 장비로 교체하는 것이 권장됨
- 기본 보안 강화
- 관리자 계정의 강력한 비밀번호 설정
- 불필요한 원격 관리 기능 비활성화
- 네트워크 접근 통제 설정 강화
- 펌웨어 및 소프트웨어 업데이트
- 결론
- 오래된 취약점이 악용되는 현실은 보안 관리의 중요성을 다시 한번 일깨움
- 사용자는 라우터 및 네트워크 장비의 최신 상태 유지와 정기적 점검을 생활화해야 함
- 기업은 네트워크 보안 강화를 위해 취약점 관리와 모니터링 체계를 강화해야 함
- 제조사는 지원이 종료된 장비의 사용자에게 명확한 교체 가이드를 제공해야 함