2021.04.21

"전 세계 1억 대 이상 기기에 영향" IoT 위협하는 TCP/IP 스택 취약점

Jon Gold | Network World
보안 업체 포어스카우트(Forescout)와 JSOF 리서치(JSOF Research)가 최근 프리BSD(FreeBSD)와 IoT용으로 인기 있는 3가지 실시간 운영체제에 사용되는 TCP/IP 스택의 취약점 9가지를 공개했다. 이들 취약점은 현재 사용되는 1억 개 이상의 기기에 영향을 미칠 수 있다.
 
© Getty Images Bank

보고서에서 '네임:렉(Name:Wreck)'으로 지칭된 취약점의 영향을 받는 3가지 운영체제는 뉴클리어스 넷(Nucleus NET), IP넷(IPNet), 넷엑스(NetX)다.

포어스카우트는 TCP/IP 스택이 광범위한 사용되고 스택이 만들어진 시점이 오래 전인 경우가 많으며 네트워크 경계를 넘나드는 인증되지 않는 기능과 프로토콜 때문에 공격자의 주요 공략 포인트가 되고 있다고 경고했다. 도메인 이름 시스템도 거의 같은 문제의 영향을 받으므로 네임:렉 취약점으로 악용될 수 있다.

보고서는 “DNS는 취약한 구현으로 이어지는 경우가 많은 복잡한 프로토콜이고 많은 경우 외부 공격자가 수백만 대 기기를 동시에 장악하는 데 이러한 취약점을 이용할 수 있다”라고 설명했다.

451 리서치(451 Research)의 수석 연구 분석가인 에릭 한셀만에 따르면 "네임:렉은 서비스 거부 공격과 원격 코드 실행을 가능하게 한다. 발생하는 원인은 주로 DNS 응답 콘텐츠의 코드 파싱에서 잘못된 코딩 방법이다. 기본적으로 DNS 응답을 더 작고 이동하기 쉬운 패키지로 압축하는 데 사용되는 시스템의 키 값은 시스템에 의해 검증되지 않으며 공격자에 의해 조작될 수 있다.

한셀만은 “DNS 공격과 관련해 어려운 점은 DNS 응답이 많은 양의 정보를 포함할 수 있다는 점이다. DNS 응답에서 대량의 데이터를 반환하는 포맷 옵션이 많기 때문이다. DNS 쿼리를 추적하지 않으면서 오픈DNS를 허용하는 경우 응답을 추적해 스테이트풀(stateful)을 확인하기가 매우 어렵다”라고 말했다.

기업이 직면하는 실질적인 위험은 사용 중인 취약한 스택이 무엇인지에 따라 달라진다. 보고서에 따르면, 프리BSD 취약점이 더 광범위하게 퍼져 있을 가능성이 높다. 넷플릭스와 야후를 포함한 수백만 개의 IT 네트워크와 방화벽, 라우터와 같은 전통적인 네트워킹 장비에 영향을 미친다. 그러나 이를 수정하기는 더 쉽다.

포레스터 선임 분석가 브라이언 카임은 “관리가 가능한 시스템이므로 업데이트할 수 있다. 네트워크 스택의 일부분인 만큼 시급하게 문제를 수정해야 한다”라고 말했다.

반면 네임:렉의 영향을 받는 실시간 운영체제는 경우 상황이 다르다. IoT 기기를 보호하기 위한 표준 문제가 계속 남아 있기 때문이다. 펌웨어 패치와 업데이트가 여전히 표준 기능이 아니고 연결된 기기(때에 따라 매우 오래된 기기이거나 애초에 인터넷 연결을 염두에 두지 않고 설계됐을 수 있음)의 OEM이 더는 운영을 하지 않는 경우도 있다.

한셀만에 따르면 이러한 IoT 기기가 취약한 경우 네트워크 계층부터 강력한 보안이 시작돼야 한다. 네트워크에서 이상 활동을 직접 모니터링하는 것도 좋지만(이 부분 역시 TCP/IP 취약점의 경우 탐지가 어려울 수 있다), 정말 필요한 것은 DNS 쿼리 보호와 같은 기술이다.

그는 “DNS는 랜섬웨어 탐지를 위한 가장 좋은 방법의 하나이므로 대부분 기업에서 DNS 모니터링이 일반화돼 있다는 점은 다행이다. 따라서 대부분 기업이 적절한 DNS 쿼리 보호 수단을 갖고 있을 것이다"라고 말했다.

취약점의 활동 범위는 영향을 받는 기기가 인터넷에 직접 액세스하는지 여부(의료 기기의 경우 대부분 해당하지 않음)와 기기의 패치 방법을 포함한 여러 요소에 따라 결정된다. 또한 아직은 실제 환경에서 악용된 취약점은 없는 것으로 알려졌다. 그러나 주의해야 할 핵심 표적 중 하나는 프린터다.

카임에 따르면 프린터는 어디에나 있고 보안과 관련해 많은 관심을 끌지 않는다는 면에서 접근성이 매우 높고, 일단 침해되면 네트워크상의 다른 취약한 기기에 접근하는 통로 역할을 할 수 있다. 그는 “프린터의 취약점을 평가하는 경우는 거의 없어서 공격자가 즐겨 악용한다. 공격자는 일단 환경에 침입하면 지속적 공격에 IoT 취약점을 사용하게 될 가능성이 있다”라고 말했다.

물론 네임:렉 외에도 드러난 TCP/IP 취약점은 많다. 포어스카우트와 JSOF는 작년에만 리플20(Ripple20), 엠네지아:33(Amnesia), 넘버:잭(Number:Jack) 등 이와 같은 유형의 보안 결함군을 여러 개 발견했다. 전문가들은 앞으로 더 많은 취약점이 발견될 것으로 보고 있다. 현존하는 IP 스택의 수가 많지 않아 광범위하게 사용되고 있는데 대체로는 안전한 것으로 간주한다.

한셀만은 “모두 선호하는 아무 (오픈소스 소프트웨어) 배포판에서 IP 스택을 가져오면 잘 보호되리라 생각한다. 대부분의 경우 맞는 생각이지만, 네트워킹 스택에는 매우 복잡한 상태 관리가 수반되므로 예상치 못한 스택 해킹 방법이 출현할 수 있다”라고 말했다. editor@itworld.co.kr


2021.04.21

"전 세계 1억 대 이상 기기에 영향" IoT 위협하는 TCP/IP 스택 취약점

Jon Gold | Network World
보안 업체 포어스카우트(Forescout)와 JSOF 리서치(JSOF Research)가 최근 프리BSD(FreeBSD)와 IoT용으로 인기 있는 3가지 실시간 운영체제에 사용되는 TCP/IP 스택의 취약점 9가지를 공개했다. 이들 취약점은 현재 사용되는 1억 개 이상의 기기에 영향을 미칠 수 있다.
 
© Getty Images Bank

보고서에서 '네임:렉(Name:Wreck)'으로 지칭된 취약점의 영향을 받는 3가지 운영체제는 뉴클리어스 넷(Nucleus NET), IP넷(IPNet), 넷엑스(NetX)다.

포어스카우트는 TCP/IP 스택이 광범위한 사용되고 스택이 만들어진 시점이 오래 전인 경우가 많으며 네트워크 경계를 넘나드는 인증되지 않는 기능과 프로토콜 때문에 공격자의 주요 공략 포인트가 되고 있다고 경고했다. 도메인 이름 시스템도 거의 같은 문제의 영향을 받으므로 네임:렉 취약점으로 악용될 수 있다.

보고서는 “DNS는 취약한 구현으로 이어지는 경우가 많은 복잡한 프로토콜이고 많은 경우 외부 공격자가 수백만 대 기기를 동시에 장악하는 데 이러한 취약점을 이용할 수 있다”라고 설명했다.

451 리서치(451 Research)의 수석 연구 분석가인 에릭 한셀만에 따르면 "네임:렉은 서비스 거부 공격과 원격 코드 실행을 가능하게 한다. 발생하는 원인은 주로 DNS 응답 콘텐츠의 코드 파싱에서 잘못된 코딩 방법이다. 기본적으로 DNS 응답을 더 작고 이동하기 쉬운 패키지로 압축하는 데 사용되는 시스템의 키 값은 시스템에 의해 검증되지 않으며 공격자에 의해 조작될 수 있다.

한셀만은 “DNS 공격과 관련해 어려운 점은 DNS 응답이 많은 양의 정보를 포함할 수 있다는 점이다. DNS 응답에서 대량의 데이터를 반환하는 포맷 옵션이 많기 때문이다. DNS 쿼리를 추적하지 않으면서 오픈DNS를 허용하는 경우 응답을 추적해 스테이트풀(stateful)을 확인하기가 매우 어렵다”라고 말했다.

기업이 직면하는 실질적인 위험은 사용 중인 취약한 스택이 무엇인지에 따라 달라진다. 보고서에 따르면, 프리BSD 취약점이 더 광범위하게 퍼져 있을 가능성이 높다. 넷플릭스와 야후를 포함한 수백만 개의 IT 네트워크와 방화벽, 라우터와 같은 전통적인 네트워킹 장비에 영향을 미친다. 그러나 이를 수정하기는 더 쉽다.

포레스터 선임 분석가 브라이언 카임은 “관리가 가능한 시스템이므로 업데이트할 수 있다. 네트워크 스택의 일부분인 만큼 시급하게 문제를 수정해야 한다”라고 말했다.

반면 네임:렉의 영향을 받는 실시간 운영체제는 경우 상황이 다르다. IoT 기기를 보호하기 위한 표준 문제가 계속 남아 있기 때문이다. 펌웨어 패치와 업데이트가 여전히 표준 기능이 아니고 연결된 기기(때에 따라 매우 오래된 기기이거나 애초에 인터넷 연결을 염두에 두지 않고 설계됐을 수 있음)의 OEM이 더는 운영을 하지 않는 경우도 있다.

한셀만에 따르면 이러한 IoT 기기가 취약한 경우 네트워크 계층부터 강력한 보안이 시작돼야 한다. 네트워크에서 이상 활동을 직접 모니터링하는 것도 좋지만(이 부분 역시 TCP/IP 취약점의 경우 탐지가 어려울 수 있다), 정말 필요한 것은 DNS 쿼리 보호와 같은 기술이다.

그는 “DNS는 랜섬웨어 탐지를 위한 가장 좋은 방법의 하나이므로 대부분 기업에서 DNS 모니터링이 일반화돼 있다는 점은 다행이다. 따라서 대부분 기업이 적절한 DNS 쿼리 보호 수단을 갖고 있을 것이다"라고 말했다.

취약점의 활동 범위는 영향을 받는 기기가 인터넷에 직접 액세스하는지 여부(의료 기기의 경우 대부분 해당하지 않음)와 기기의 패치 방법을 포함한 여러 요소에 따라 결정된다. 또한 아직은 실제 환경에서 악용된 취약점은 없는 것으로 알려졌다. 그러나 주의해야 할 핵심 표적 중 하나는 프린터다.

카임에 따르면 프린터는 어디에나 있고 보안과 관련해 많은 관심을 끌지 않는다는 면에서 접근성이 매우 높고, 일단 침해되면 네트워크상의 다른 취약한 기기에 접근하는 통로 역할을 할 수 있다. 그는 “프린터의 취약점을 평가하는 경우는 거의 없어서 공격자가 즐겨 악용한다. 공격자는 일단 환경에 침입하면 지속적 공격에 IoT 취약점을 사용하게 될 가능성이 있다”라고 말했다.

물론 네임:렉 외에도 드러난 TCP/IP 취약점은 많다. 포어스카우트와 JSOF는 작년에만 리플20(Ripple20), 엠네지아:33(Amnesia), 넘버:잭(Number:Jack) 등 이와 같은 유형의 보안 결함군을 여러 개 발견했다. 전문가들은 앞으로 더 많은 취약점이 발견될 것으로 보고 있다. 현존하는 IP 스택의 수가 많지 않아 광범위하게 사용되고 있는데 대체로는 안전한 것으로 간주한다.

한셀만은 “모두 선호하는 아무 (오픈소스 소프트웨어) 배포판에서 IP 스택을 가져오면 잘 보호되리라 생각한다. 대부분의 경우 맞는 생각이지만, 네트워킹 스택에는 매우 복잡한 상태 관리가 수반되므로 예상치 못한 스택 해킹 방법이 출현할 수 있다”라고 말했다. editor@itworld.co.kr


X