Asus가 해소한, 은밀한 익스플로잇으로 인한 지속적인 SSH 백도어 우려
Asus는 현재까지 9,000대 이상의 라우터에 감염된 논란의 봇넷 공격과 관련하여 여러 차례 공식 성명을 발표했습니다. 기존 보도에 따르면, "AyySSHush" 봇넷은 무차별 대입(brute-force) 공격과 인증 우회 기법을 결합하여 호스트를 감염시키고, 백도어(backdoor)를 비휘발성 메모리(non-volatile memory)에 숨겨 펌웨어 업데이트나 새로고침을 통해 탐지되는 것을 회피하려 합니다.
Asus는 보안 취약점에 대한 공식 성명에서 Tom's Hardware에 다음과 같이 밝혔습니다. 해당 취약점은 아직 감염되지 않은 사용자들은 예방할 수 있으며, 이미 감염된 라우터에 대해서는 수정되었다는 점입니다. 적대적 행위자들은 알려진 명령 삽입 취약점(CVE-2023-39780)을 악용하여 사용자 지정 포트(TCP/53282)에서 SSH 접근을 활성화하고, 원격 접속을 위한 공격자가 제어하는 공개 키를 삽입합니다.
이러한 익스플로잇은 최신 Asus 펌웨어 업데이트를 통해 패치되었으므로, Asus는 모든 사용자에게 라우터 펌웨어를 업데이트할 것을 권고합니다. 이후에는 공장 초기화(factory reset)를 수행하고 강력한 관리자 비밀번호를 설정하는 것이 좋습니다. 만약 라우터 지원 종료(end-of-life support)에 도달했거나, 공장 초기화를 피하고 싶어 라우터 설정을 직접 확인할 만큼 기술에 숙련된 사용자의 경우, Asus는 "SSH, DDNS, AiCloud 또는 WAN을 통한 웹 액세스 등 모든 원격 접속 기능을 비활성화하고, 특히 SSH(TCP 포트 53282)가 인터넷에 노출되지 않도록 확인"할 것을 권장합니다.
DoJ, 163개국에 걸쳐 36만 대에 달하는 감염 라우터 및 IoT 장치로 구성된 봇넷 해체
AyySSHush 봇넷은 보안 회사 GreyNoise가 3월에 최초 발견했으며, 자체 AI 모니터링 기술인 Sift가 감지한 경보를 통해 5월에 그 결과가 공개되었습니다. GreyNoise는 봇넷의 배후 공격자들을 "자원이 풍부하고 역량이 뛰어난 적대 세력"으로 분류했지만, 구체적인 주체에 대한 비난은 삼갔습니다. 현재 작성 시점을 기준으로 9,500대가 넘는 영향을 받은 라우터 목록은 Censys에서 확인할 수 있습니다. 지금까지 봇넷 활동은 매우 미미하여, 지난 3개월간 관련 요청이 30건에 불과했습니다.
Tom's Hardware에 별도로 전달된 추가 논평에서, Asus는 해당 익스플로잇이 널리 알려진 후 적합한 사용자들에게 펌웨어 업데이트를 알리는 푸시 알림을 보냈다고 덧붙였습니다. 또한 사용자들은 Asus의 제품 보안 권고 페이지와 해당 취약점에 대한 업데이트된 지식 기반(knowledge base) 기기 등의 자료를 활용할 수 있습니다.
Asus는 또한 이 알려진 취약점에 대응하기 위해 GreyNoise 보고서가 공개되기 훨씬 전부터 RT-AX55 라우터를 포함한 여러 모델의 펌웨어를 업데이트하는 작업을 진행해 왔다고 주장합니다. 이는 중요한 사실인데, CVE-2023-39780 보고서에 따르면 Asus는 최근 GreyNoise 보고서가 나오기 전에 이미 해당 취약점을 인지하고 있었음을 시사합니다.
문제가 우려되는 Asus 라우터 사용자는 SSH가 인터넷에 노출되어 있지 않은지 반드시 확인해야 하며, 과거의 무차별 대입 공격을 나타내는 반복적인 로그인 실패 기록이나 생소한 SSH 키가 있는지 확인하기 위해 라우터 로그를 점검하는 것이 좋습니다. 라우터를 WAN 액세스 및 개방된 인터넷에 노출시키는 것은 매우 위험하며, 봇넷에 감염된 대부분의 라우터는 사용자 측의 취약하고 안전하지 못한 환경에서 운영되었을 가능성이 높습니다. 그럼에도 불구하고, 모든 웹 보안 문제와 마찬가지로, 만일의 사태를 대비하는 것이 가장 좋으므로 라우터 및 기타 웹 연결 장치들이 최신 펌웨어로 구동되는지 확인하는 것이 중요합니다.
최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 Google News에서 Tom's Hardware를 팔로우하십시오. 반드시 '팔로우' 버튼을 클릭해 주십시오.