DNSmasq는 WannaCry 및 Mirai보다 더 큰 사이버 공격을 촉발할 수 있다

좋은 소식입니다! Google Security가 인기 있는 dnsmasq 서비스에 대한 7개의 심각한 취약점과 PoC 익스플로잇 코드를 공개한 지 10일이 지났지만 세상은 여전히 존재합니다. 이것이 얼마나 오래 지속될까요? WannaCry 확산을 참고하면, 공개 익스플로잇이 출시된 후 전 세계적인 확산까지 시간이 걸립니다. 정말 그럴까요? EternalBlue 익스플로잇은 1월 7일에^th 다른 “Lost in translation” 유출과 함께 공개되어 WCry 공격보다 5개월이 앞서 있습니다. 하지만 정확한 일정을 되돌아보면 4월 말까지 1,700,000개 이상의 호스트가 온라인에서 포트 445를 스캔하거나 Shodan 데이터를 통해 추적 가능한 DoublePulsar 백도어에 감염되었다고 기록할 수 있습니다. PhobosGroup의 Dan Tentler가 4월 19일에 대규모 DoublePulsar 감염을 보고^th하며 스캔 노력을 시작하고 발견 내용을 보고했습니다. 그리고 WannaCry는 5월 12일에 발생해서^th 수십만 개의 백도어가 설치된 기기에 대한 공개 발표가 있은 후 정확히 24일 만에 공격이 발생했습니다. 이것이 Dnsmasq 상황과 어떻게 관련이 있을까요? 이번에는 위협을 설명하는 멋진 그림을 만들 수 있는 약간의 자유를 가졌습니다:3개의 RCE 취약점 때문에 패치되지 않은 dnsmasq를 실행하는 모든 기기를 이미 손상된 것으로 간주하고 백도어가 있을 가능성이 있습니다. 24일 만에 글로벌 WannaCry 공격을 실행할 수 있는 공격자의 능력을 이미 보았기 때문에, 10월 26일이나 27일에 큰 문제가 발생할 수 있다고 예상할 수 있습니다.^th 우리 정보 보안 전문가들에게 또 다른 재미있는 금요일이 될 수 있습니다. 공격자는 항상 진화한다고 하니 더 빨리 발생할 수도 있습니다. 백도어 가설을 확인하기 위해 스캔과 검증이 필요하겠지만, 먼저 Shodan에게 문의하여 다가오는 재앙의 크기를 측정해 보겠습니다. 확인하고 싶다면 여기에 쿼리가 있습니다: https://www.shodan.io/search?query=dnsmasq+!dnsmasq-2.76+!dnsmasq-2.78+!dnsmasq-2.77+!dnsmasq-2.79+!dnsmasq-2.8+!dnsmasq-2.910월 11일 기준으로^th, 총 1,178,031대의 장치가 취약한 dnsmasq 버전을 실행 중이며, 버전 2.76이 대규모 공격의 잠재적 대상이 될 가능성이 있다고 고려하지 않은 경우입니다. 10월 6일에 패치 수치를 보고했으며^th 취약한 장치 수는 1,131,229였습니다. Shodan이 발견한 패치되지 않은 장치 수는 계속 증가하고 있습니다!어쩌면 Google Security의 경고가 무시되었을까요? 그렇다고 느껴질 수도 있지만 기업에서의 긴 패치 관리 주기(또 IoT에서 전혀 존재하는가?)와 지원이 중단된 대규모 안드로이드 장치 수를 고려하면 상황이 합리적으로 보입니다. 영향이 전 세계적인가요? 이보고서에서 Shodan의 답을 찾을 수 있습니다:왜 Mirai를 언급할까요? 그것은 텔넷과 하드코딩된 자격 증명 같은 텍스트 프로토콜을 통해 비공개 IoT 장치를 스캔하고 봇군을 구축한 악명 높은 봇넷이었습니다. 이러한 기능을 가진 적대자는 Brute Force 공격에서 공개 익스플로잇 코드가 있는 RCE로 쉽게 업그레이드할 수 있습니다. 그러나 10월 27일까지 아무 일도 일어나지 않으면 dnsmasq가 APT 공격자에 의해 활용되어 지속성을 확보하여 은밀하게 운영될 것입니다 (MITRE ATT&CK에서 이를 수행하는 방법 참조). dnsmasq 패치가 갑자기 급증하는 것을 보면 APT의 영향을 받을 것이라고 볼 수 있습니다. 대부분의 조직에서 여전히 불안전하고 통제되지 않은 DNS 트래픽은 명령 및 제어, 전송 및 데이터 탈취에 쉽게 활용될 수 있는 수단입니다. 무슨 일이 있어도 안전을 위해 이러한 자산을 차단하고 몇 가지 탐지 제어를 배포하여 사이버 보안에서 다른 많은 멋진 일을 할 수 있습니다. 작업 또는 가정용 라우터로 IoT 프로젝트의 일환으로 dnsmasq 장치를 보유한 자랑스러운 소유자라면 오늘 펌웨어를 업그레이드하세요!

/안전하세요

p.s. 우리는 방금 모든 1,17K+ 장치를 Tor 피드와 교차 검토하여 단 1개의 히트를 얻었습니다. IPVoid 및 VirusTotal과 IP를 대조하기 시작했으며 몇몇 IP가 악성으로 확인되었습니다. 업데이트가 곧 제공됩니다.

SIEM 컨텐츠

ArcSight: 기본 and 고급QRadar: 투표 기본 및 고급Splunk: 기본 and 고급