원격 코드 실행 취약점은 윈도우 TCP/IP 스택이 ICMPv6 라우터 광고(Router Advertisement) 패킷을 부적절하게 처리할 때 발생한다. 이 취약점을 악용하면 대상 서버 또는 클라이언트에서 코드를 실행할 권한을 획득할 수 있다.
배드 네이버 취약점은 윈도우에서 TCP/IP 스택이 구현된 방식으로 인해 발생하는 버퍼 오버플로우에 기인한다. ICMPv6 프로토콜이 활성화된 경우 재귀 DNS 서버(RDNSS) 역시 활성화돼 있다면 라우터 광고(RA) 패킷이 적절히 처리되지 않는다. 두 조건이 모두 적용되는 경우 RFC 8106에 따라 ICMPv6 RA 패킷은 5개의 필드(형식, 길이, 예약, 수명, IPv6 RDNSS 주소)를 가져야 하고 패킷의 길이는 홀수여야 한다.
마이크로소프트는 CVE-2020-16898에 대한 보안 권고에서, 공격자가 이 취약점을 악용하려면 특별히 제작된 ICMPv6 라우터 광고 패킷을 원격 윈도우 컴퓨터로 전송해야 한다고 설명했다.
배드 네이버가 위험한 이유
윈도우와 윈도우 서버는 의료 기관을 포함한 기업 환경에서 가장 널리 사용되는 운영체제다. 랜섬웨어 공격자는 다양한 방식으로 병원과 보건 시설을 노리고 있으며 실제로 랜섬웨어 공격이 환자 사망으로 이어진 사례도 있다.
영국 국가 의료 서비스(NHS)는 이 결함이 병원을 노리는 데 사용될 가능성을 고려해 배드 네이버에 대한 자체 보안 권고를 게시했다. 디지털웨어(Digitalware)의 CTO 롭 바더스트에 따르면, 배드 네이버는 현재 블루스크린 다운만 일으키므로 사람들은 과장된 위험으로 여기기 쉽다. 그러나 랜섬웨어 공격자가 이 취약점을 공격 벡터로 사용해 악성 키트를 침투시키고 손상된 네트워크에서의 활동 속도를 높일 수 있다.
그는 “특히 유일한 보호 방법이 IPv6를 비활성화하는 것이라는 점도 고려해야 한다. IPv6 비활성화는 불가능에 가까운 방법이다. 즉, 랜섬웨어 그룹이 이 취약점을 무기화하는 데 성공하면 이를 활용해 네트워크로 도달할 수 있는, 영향을 받는 OS를 사용하는 누구든 공격 목표로 삼을 수 있다. 랜섬웨어 키트를 설치하도록 무기화된 버전은 초기 침해 후 감염 속도를 크게 높일 수 있다”라고 말했다.
현재 배드 네이버 취약점에 대한 여러 PoC 익스플로잇이 나와 있으므로 네트워크 관리자는 즉시 이 결함을 수정하는 것을 강력히 권고한다.
배드 네이버 취약점을 억제하는 방법
마이크로소프트는 최신 보안 업데이트를 적용해 배드 네이버 취약점을 패치할 것을 권고한다. 업데이트가 불가능하다면 윈도우 10 버전 1709 이상을 실행하는 시스템용으로 나온 해결 방법을 사용하면 된다. 간단한 다음 파워셸 명령을 실행해서 ICMPv6 RDNSS 옵션을 비활성화하면 된다. 시스템을 재시작하지 않아도 변경이 적용된다.
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
마이크로소프트에 따르면, 이 해결 방법은 RA 기반 DNS 구성을 비활성화한다. IPv6 호스트의 주소가 IPv6 무상태 주소 자동 구성을 통해 자동으로 구성되며 DHCPv6 인프라가 없거나 일부 호스트에 DHCPv6 클라이언트가 없는 네트워크에서 대안으로 사용할 수 있다. 윈도우는 여전히 DHCPv6을 지원하며 6101 기반 구성보다 우선한다. 단, 이러한 해결 방법을 적용하기 전에 IT 및 네트워크 관리자에게 문의해 기업 인프라가 RA 기반 DNS 구성에 의존하지 않는지 확인해야 한다.
SOC 전문가의 경우 다음 수리카타(Suricata) IDS 규칙을 사용하면 트래픽에서 배드 네이버 익스플로잇 징후를 모니터링하는 데 도움이 된다. cve-2020-16898.lua 스크립트와 관련 정보는 맥아피 고급 위협 연구팀 깃허브에서 볼 수 있다.
alert icmp any any -> any any (msg:"Potential CVE-2020-16898 Exploit"; lua:cve-2020-16898.lua; sid:202016898; rev:1;)
원격 코드 실행 취약점은 윈도우 TCP/IP 스택이 ICMPv6 라우터 광고(Router Advertisement) 패킷을 부적절하게 처리할 때 발생한다. 이 취약점을 악용하면 대상 서버 또는 클라이언트에서 코드를 실행할 권한을 획득할 수 있다.
배드 네이버 취약점은 윈도우에서 TCP/IP 스택이 구현된 방식으로 인해 발생하는 버퍼 오버플로우에 기인한다. ICMPv6 프로토콜이 활성화된 경우 재귀 DNS 서버(RDNSS) 역시 활성화돼 있다면 라우터 광고(RA) 패킷이 적절히 처리되지 않는다. 두 조건이 모두 적용되는 경우 RFC 8106에 따라 ICMPv6 RA 패킷은 5개의 필드(형식, 길이, 예약, 수명, IPv6 RDNSS 주소)를 가져야 하고 패킷의 길이는 홀수여야 한다.
마이크로소프트는 CVE-2020-16898에 대한 보안 권고에서, 공격자가 이 취약점을 악용하려면 특별히 제작된 ICMPv6 라우터 광고 패킷을 원격 윈도우 컴퓨터로 전송해야 한다고 설명했다.
배드 네이버가 위험한 이유
윈도우와 윈도우 서버는 의료 기관을 포함한 기업 환경에서 가장 널리 사용되는 운영체제다. 랜섬웨어 공격자는 다양한 방식으로 병원과 보건 시설을 노리고 있으며 실제로 랜섬웨어 공격이 환자 사망으로 이어진 사례도 있다.
영국 국가 의료 서비스(NHS)는 이 결함이 병원을 노리는 데 사용될 가능성을 고려해 배드 네이버에 대한 자체 보안 권고를 게시했다. 디지털웨어(Digitalware)의 CTO 롭 바더스트에 따르면, 배드 네이버는 현재 블루스크린 다운만 일으키므로 사람들은 과장된 위험으로 여기기 쉽다. 그러나 랜섬웨어 공격자가 이 취약점을 공격 벡터로 사용해 악성 키트를 침투시키고 손상된 네트워크에서의 활동 속도를 높일 수 있다.
그는 “특히 유일한 보호 방법이 IPv6를 비활성화하는 것이라는 점도 고려해야 한다. IPv6 비활성화는 불가능에 가까운 방법이다. 즉, 랜섬웨어 그룹이 이 취약점을 무기화하는 데 성공하면 이를 활용해 네트워크로 도달할 수 있는, 영향을 받는 OS를 사용하는 누구든 공격 목표로 삼을 수 있다. 랜섬웨어 키트를 설치하도록 무기화된 버전은 초기 침해 후 감염 속도를 크게 높일 수 있다”라고 말했다.
현재 배드 네이버 취약점에 대한 여러 PoC 익스플로잇이 나와 있으므로 네트워크 관리자는 즉시 이 결함을 수정하는 것을 강력히 권고한다.
배드 네이버 취약점을 억제하는 방법
마이크로소프트는 최신 보안 업데이트를 적용해 배드 네이버 취약점을 패치할 것을 권고한다. 업데이트가 불가능하다면 윈도우 10 버전 1709 이상을 실행하는 시스템용으로 나온 해결 방법을 사용하면 된다. 간단한 다음 파워셸 명령을 실행해서 ICMPv6 RDNSS 옵션을 비활성화하면 된다. 시스템을 재시작하지 않아도 변경이 적용된다.
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
마이크로소프트에 따르면, 이 해결 방법은 RA 기반 DNS 구성을 비활성화한다. IPv6 호스트의 주소가 IPv6 무상태 주소 자동 구성을 통해 자동으로 구성되며 DHCPv6 인프라가 없거나 일부 호스트에 DHCPv6 클라이언트가 없는 네트워크에서 대안으로 사용할 수 있다. 윈도우는 여전히 DHCPv6을 지원하며 6101 기반 구성보다 우선한다. 단, 이러한 해결 방법을 적용하기 전에 IT 및 네트워크 관리자에게 문의해 기업 인프라가 RA 기반 DNS 구성에 의존하지 않는지 확인해야 한다.
SOC 전문가의 경우 다음 수리카타(Suricata) IDS 규칙을 사용하면 트래픽에서 배드 네이버 익스플로잇 징후를 모니터링하는 데 도움이 된다. cve-2020-16898.lua 스크립트와 관련 정보는 맥아피 고급 위협 연구팀 깃허브에서 볼 수 있다.
alert icmp any any -> any any (msg:"Potential CVE-2020-16898 Exploit"; lua:cve-2020-16898.lua; sid:202016898; rev:1;)
