92,000 D-Link NAS 장치가 악성코드 공격에 취약합니다

해커들이 영향을 받는 장치에서 임의 명령 실행을 수행하고 민감한 정보에 접근할 수 있게 해주는 패치되지 않은 취약점을 스캔하고 적극적으로 악용하고 있는 D-Link의 네트워크 영역 저장소(NAS) 장치 4종에서 발견되었습니다.

D-Link는 지난주에 이 결함을 확인했습니다. 이 회사는 사용자에게 지원 종료(“EOS”) / 생애 종료(“EOL”) 제품을 퇴역하고 교체할 것을 촉구했으며, 패치를 배포할 계획이 없다고 밝혔습니다. 즉, 사용자는 D-Link의 최신 NAS 시스템 중 하나를 구매해야 합니다.

이 취약점은 DNS-320L 버전 1.11, 버전 1.03.0904.2013, 버전 1.01.0702.2013, DNS-325 버전 1.01, DNS-327L 버전 1.09, 버전 1.00.0409.2013, DNS-340L 버전 1.08 모델을 포함하여 약 92,000개의 D-Link 장치에 영향을 미칩니다.

CVE-2024-3272 (CVSS 점수: 9.8) 및 CVE-2024-3273 (CVSS 점수: 7.3)으로 추적되는 이전 결함은 비밀번호가 없는 하드코딩된 “백도어” 계정을 포함하고 있으며, 후자는 HTTP GET 요청을 수행하여 장치에서 모든 명령을 실행할 수 있는 명령 주입 취약점입니다.

“취약점은 nas_sharing.cgi URI에 있으며, 하드코딩된 자격 증명으로 활성화된 백도어와 시스템 매개변수를 통한 명령 주입 취약점이라는 두 가지 주요 문제로 인해 취약합니다.”라고 이 취약점을 발견하고 3월 26일에 공개적으로 발표한 보안 연구원 “netsecfish”가 말했습니다.

“이 악용은 영향을 받는 D-Link NAS 장치에서 임의 명령 실행으로 이어질 수 있으며, 공격자에게 민감한 정보에 대한 잠재적 접근, 시스템 구성 변경 또는 서비스 거부를 허용할 수 있습니다. 이는 인터넷에서 92,000개 이상의 장치에 영향을 미칩니다.”

위협 인텔리전스 회사 GreyNoise는 공격자들이 D-Link 장치를 원격으로 제어할 수 있는 Mirai 악성코드 변종(skid.x86)을 배포하기 위해 이 결함을 무기화하려고 시도하고 있음을 발견했다고 밝혔습니다. Mirai 변종은 일반적으로 감염된 장치를 대규모 분산 서비스 거부(DDoS) 공격에 사용하기 위해 봇넷에 추가하도록 설계되었습니다.

또한 비영리 위협 연구 기관인 ShadowServer Foundation은 이 취약점의 적극적인 악용 시도가 발견되었으며, “여러 IP에서 스캔/악용이 발생하고 있다”고 보고했습니다.

“우리는 EOL D-Link 네트워크 영역 저장소 장치의 CVE-2024-3273에 대한 여러 IP에서 스캔/악용이 발생하는 것을 보기 시작했습니다. 이는 RCE를 달성하기 위해 백도어와 명령 주입을 연결하는 것입니다.”라고 X(구 Twitter)에서 게시했습니다.

수정 사항이 없는 상황에서 Shadowserver Foundation은 사용자가 장치를 오프라인으로 전환하거나 교체하거나 최소한 원격 접근을 방화벽으로 차단하여 잠재적인 위협을 차단할 것을 권장합니다.

D-Link NAS 장치의 취약점은 사용자에게 상당한 위협을 제기하며 사이버 보안에 대한 경계를 유지할 필요성을 강조하고, 정기적인 사이버 보안 업데이트의 중요성을 강조합니다. 악의적인 행위자에 의한 악용을 방지하기 위해 사용자는 장치를 보호하고 데이터를 보호하기 위한 권장 예방 조치를 따를 수 있습니다.