IoT 기기를 대상으로 한 IoT 리퍼(Reaper), 루프(roop) 봇넷 주의

□ 개요
o IoT 기기를 대상으로 한 IoT 리퍼(Reaper), IoT 루프(roop) 봇넷이 국외에서 발견
o IoT 리퍼, 루프 감염 시 DDoS 공격에 악용될 수 있어 사용자 주의가 필요함

□ 설명
o IoT 리퍼, 루프 악성코드는 관리자 인증 우회 및 원격 코드 실행 취약점 등을 악용하여 IoT 단말 (IP 카메라, 라우터 등)을 감염시킴
o 악성코드에 감염된 IoT기기는 명령지 서버에 감염 단말기 정보(Mac주소, 제품정보, 버전 등)를 전송하고 추가 악성코드를 다운로드
o 이후, 명령지 서버에 따라 DDoS 공격을 수행 및 취약한 단말 스캔 결과 전송
※ 100여 개(중국 94개, 미국 5개, 러시아 1개)의 오픈 DNS IP가 포함

□ 영향을 받는 IoT 기기
o 아래 참고사이트를 확인하여 제조사별 상세 정보 확인
o D-LINK
- D-LINK 850L 원격코드실행 취약점 [1]
- DIR-600/300 원격코드실행 취약점 [2]
o Goahead
- 원격코드실행 취약점 [3]
o JAWS
- 웹 인증 우회 취약점 [4]
o Netgear
- ReadyNAS 원격코드실행 취약점 [5]
- DGN 원격코드실행 취약점 [6]
o Vacron
- 원격코드실행 취약점 [7]
o Linksys
- 원격코드실행 취약점 [8]
o AVTECH
- 인증정보노출 및 원격코드실행 취약점[9]
o TP-Link
- 디렉터리 인증 우회 취약점[10]
o MikroTik
- 인증우회 및 서비스 거부 취약점[11]
o Synology
- 원격코드실행 취약점[12]

□ 해결 방안
o 해당 제품 사용자는 제조사 홈페이지를 확인하여 최신 펌웨어 업데이트 확인 및 설치
o 가능한 경우 IoT 기기를 인터넷에 직접 연결하지 않고 사용 권고
o IoT 기기의 초기 관리자 패스워드를 안전하게 변경하여 사용
o 영향 받는 IoT 기기의 맥주소는 http://macaddress.webwat.ch/ 사이트를 통해 검색하여 탐지 및 대응


[참고사이트]
[1] https://blogs.securiteam.com/index.php/archives/3364
[2] http://www.s3cur1ty.de/m1adv2013-003
[3] https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
[4] https://www.pentestpartners.com/blog/pwning-cctv-cameras/
[5] https://blogs.securiteam.com/index.php/archives/3409
[6] http://seclists.org/bugtraq/2013/Jun/8
[7] https://blogs.securiteam.com/index.php/archives/3445
[8] http://www.s3cur1ty.de/m1adv2013-004
[9] https://github.com/Trietptm-on-Security/AVTECH
[10] http://www.s3cur1ty.de/m1adv2013-011
[11] http://seclists.org/fulldisclosure/2015/Mar/49
[12] http://www.kb.cert.org/vuls/id/615910