Akamai 위협 주의보

IoT 디바이스를 악용한 메가톤급 SSHowDowN 공격

Akamai 위협 연구팀 에즈라 캘텀(Ezra Caltum) 및 오리 시걸(Ory Segal)
발행일: 2016년 11월 10일

Executive Summary

사용자들은 인터넷에 연결된 디바이스의 출고 당시 초기 설정에 별 관심을 가지지 않습니다. 하지만 이제부터는 이에 대한 경각심을 가져야 합니다. Akamai 위협 연구팀은 최근 인터넷에 연결된 수백만 대의 사물 인터넷(IoT) 디바이스가 웹 기반 자격 증명 스터핑 공격의 소스로 사용되는 사례를 보고했습니다. Akamai 위협 연구팀은 자세한 조사를 실시한 결과 이러한 디바이스가 운영 체제에 내재된 몇 가지 설정상 취약성을 악용하여 악성 트래픽을 라우팅하는 프록시로 사용되는 정황을 포착했습니다.

이 문제는 이전에도 보고된 바 있으나, 인터넷에 연결된 디바이스의 수가 급증함에 따라 다시 주목받기 시작했습니다. 위협 연구팀은 현재 널리 사용되는 디바이스 공급업체들과 함께 대응 방안을 만들어 나가고 있습니다. 이 문제는 새로운 취약성 또는 공격 기법이 아니라 인터넷에 연결된 디바이스의 기본 설정상의 취약성이 Akamai 고객을 대상으로 하는 메가톤급 공격에 새롭게 사용되고 있는 기법입니다.

다음과 같은 디바이스에서 SSHowDowN 프록시 공격이 관측되었으며, 이 밖에도 공격에 취약한 디바이스가 존재할 수 있습니다. 

  • CCTV, NVR, DVR 디바이스(비디오 감시) 
  • 위성 안테나 장비 
  • 네트워킹 디바이스(예: 라우터, 핫스팟, WiMax, 케이블, ADSL 모뎀 등) 
  • 인터넷에 접속된 NAS 디바이스(네트워크 연결 스토리지)

공격에 노출된 디바이스는 다음과 같은 활동에 사용될 수 있습니다. 

  1. HTTP, SMTP 네트워크 스캐닝과 같은 다양한 인터넷 접속 서비스 및 여러 인터넷 디바이스를 대상으로 하는 공격 개시 
  2. 인터넷에 접속된 이러한 디바이스를 호스팅하는 내부 네트워크를 겨냥한 공격 개시

이러한 디바이스의 웹 관리 콘솔 액세스에 성공한 공격자는 디바이스의 데이터를 조작할 수 있으며, 경우에 따라 시스템 전체를 장악할 수 있습니다.

이 경우 IoT 디바이스는 보안 기능이 강화되어 있으며 기본 웹 인터페이스 사용자는 SSH를 통해 디바이스에 접속하고 명령을 실행하도록 허용되지 않음에도 불구하고 권한 없는 SSH 터널이 생성되어 악용되었습니다. Akamai는 이러한 상황을 바탕으로 본 경고를 재차 발행해야 할 필요성을 인식했습니다.

보호 방법

사용자: 

  1. 항상 인터넷에 연결된 디바이스의 출고 당시 초기 자격 증명을 변경합니다. 
  2. 정상적인 운영을 위해 필요한 경우를 제외하고, 인터넷에 연결된 디바이스의 SSH 서비스를 완전히 비활성화합니다. SSH가 필요한 경우 sshd_config에서 “AllowTcpForwarding No”를 설정합니다. 
  3. 자체 내부 네트워크와 같이 상대적으로 신뢰 가능한 IP 공간 이외에서 접속하는 IoT 디바이스에 대한 SSH 접속을 방지하는 인바운드 방화벽 규칙을 설정합니다. 
  4. 네트워크 경계에 존재하는 IoT 디바이스에 대한 아웃바운드 방화벽 규칙을 설정하여 아웃바운드 연결 성공으로 인해 터널이 생성되지 않도록 합니다.

디바이스 공급업체: 

  1. 설명서에 계정을 기입하지 않은 상태로 인터넷에 연결되는 디바이스를 출고하지 않습니다. 
  2. 정상적인 운영을 위해 반드시 필요한 경우를 제외하고 디바이스의 SSH를 해제합니다. 
  3. 사용자들이 초기 설치 이후 반드시 초기 기본 계정을 변경하도록 강제합니다. 
  4. SSH에서 TCP 포워딩을 허용하지 않도록 설정합니다. 
  5. 사용자들이 펌웨어 패치를 기다리지 않고도 향후 취약성에 대응할 수 있도록 sshd 설정을 업데이트할 수 있는 안전한 프로세스를 제공합니다.

기술 세부 정보

Akamai의 위협 연구팀과 몇몇 보안 공급업체 및 리서치 팀은 최근 IoT 디바이스가 서드파티 공격 대상에 대한 공격을 시작하는 데 악용되고 있는 추세를 보고했습니다. 이러한 디바이스는 고객을 대상으로 HTTP 기반 메가톤급 자격 증명 스터핑 공격을 시작하는 데 사용되었습니다.

이 문제는 새로운 취약성 또는 공격 기법이 아니라 IoT 디바이스의 기본 설정상의 취약성입니다. 실제로 해당 주제를 다룬 문서가 몇 차례 발행된 바 있습니다. 예:

  • 브라이언 크렙스(Brian Krebs)의 블로그 게시물(“IoT의 현실: 스마트 디바이스, 스마트하지 못한 기본 설정”) 
  • 해커들이 SSH 터널을 사용하여 스팸을 발송하는 방식을 설명하는 제프 허커비(Jeff Huckaby)의 기사 
  • CVE-2004-1653 - 기본값으로 TCP 포워딩을 허용하는 OpenSSH에 대항하여 발행되었으며, 이로 인해 정규 셸 액세스를 허용하지 않도록 설계된 서비스 계정에 가해지는 위험에 대해 설명 
  • /bin/false 사용의 위험성에 대해 설명하는 조던 시셀(Jordan Sissel)의 기사 
  • SSH TCP 포워딩 설정 기본값의 보안 취약성을 다룬 조이 헤스(Joey Hess)의 블로그 게시물

Akamai 클라우드 보안 인텔리전스 플랫폼의 막대한 데이터 집합을 분석한 결과 몇 가지 공통점을 발견할 수 있었으며, 이를 바탕으로 IoT 디바이스가 공격 대상 사이트로 악성 트래픽을 라우팅하는 프록시로 사용되는 정황을 포착할 수 있었습니다.

Akamai는 이러한 가설을 증명하기 위해 공격에 사용된 것과 동일한 디바이스를 구해 인터넷에 연결된 위협 연구 실험실에 이를 설치했으며, 공격자들이 사용하는 기법과 근본 원인을 파악하여 Akamai와 Akamai의 고객, 그리고 IoT 디바이스 사용자들을 보호할 방안을 모색하는 작업에 착수했습니다.