베트남의 MikroTik 라우터, 공격에 취약

BleepingComputer 에 따르면, 식별자 CVE-2023-30799가 할당된 MikroTik 라우터의 취약점은 기존 관리자 계정을 보유한 원격 공격자가 장치의 Winbox 또는 HTTP 인터페이스를 통해 권한을 최고 관리자로 높일 수 있도록 합니다.

보안 회사 VulnCheck의 이전 보고서는 이 취약점을 악용하려면 관리자 계정이 필요하지만, 취약점을 악용하는 입력값은 기본 비밀번호가 변경되지 않았다는 사실에서 비롯된다고 설명했습니다. 연구원들은 이 라우터가 비밀번호 추측에 대한 기본적인 보호 기능을 갖추고 있지 않다고 밝혔습니다.

VulnCheck는 악의적인 해커들의 튜토리얼이 될 것을 우려하여 악용 증거를 공개하지 않았습니다. 연구원들은 MikroTik 기기의 최대 60%가 여전히 기본 관리자 계정을 사용하고 있다고 밝혔습니다.

MikroTik은 MikroTik RouterOS 운영 체제를 기반으로 하는 네트워크 장비 전문 라트비아 브랜드입니다. 사용자는 웹 인터페이스 또는 Winbox 애플리케이션의 관리 페이지에 접속하여 LAN 또는 WAN 네트워크를 구성하고 관리할 수 있습니다.

일반적으로 제조업체는 초기 로그인 계정을 "admin"으로 설정하고 대부분의 제품에는 기본 비밀번호를 사용합니다. 이는 기기를 공격에 취약하게 만드는 위험 요소입니다.

취약점 CVE-2023-30799는 식별자 없이 2022년 6월에 처음 공개되었으며, MikroTik은 2022년 10월에 RouterOS 안정 버전 v6.49.7을 통해, 2023년 7월 19일에 RouterOS 장기 버전(v6.49.8)을 통해 이 문제를 패치했습니다.

연구원들은 웹 기반 관리 페이지에 원격으로 노출된 47만 4천 대의 취약한 기기를 발견했습니다. VulnCheck에 따르면, 장기 버전은 해당 팀이 제조업체에 연락하여 MikroTik 하드웨어 공격 방법을 알려준 후에야 패치되었다고 합니다.

연구원들은 이 취약점이 Winbox 앱에서도 악용될 수 있기 때문에 약 926,000대의 기기에서 관리 포트가 노출되어 영향 범위가 훨씬 넓을 것이라고 밝혔습니다.

WhiteHat 전문가에 따르면, 이 취약점의 주요 원인은 사용자와 제조업체, 두 가지입니다. 기기를 구매한 사용자는 제조업체의 보안 권장 사항을 무시하고 기기의 기본 비밀번호 변경을 "잊는" 경우가 많습니다. 하지만 비밀번호를 변경한 후에도 제조업체에서 제공하는 다른 위험 요소가 여전히 존재합니다. MikroTik은 MikroTik RouterOS 운영 체제에 대한 비밀번호 추측(무차별 대입 공격)에 대한 보안 솔루션을 제공하지 않았습니다. 따라서 해커는 도구를 사용하여 방해받지 않고 접속 이름과 비밀번호를 추측할 수 있습니다.

게다가 MikroTik은 빈 관리자 비밀번호 설정을 허용했으며, 2021년 10월 RouterOS 6.49를 출시할 때까지 이 문제를 해결하지 않았습니다.

위험을 최소화하기 위해 WhiteHat 전문가들은 사용자에게 RouterOS의 최신 패치로 즉시 업데이트할 것을 권장하며, 원격 접근을 방지하기 위해 관리 인터페이스에서 인터넷 연결을 끊는 등의 추가 솔루션을 구현하고, 관리 페이지를 공개해야 하는 경우 강력한 비밀번호를 설정할 수도 있습니다.