공격자가 인증 없이 명령어 실행할 수 있는 운영 체제 명령 주입 취약점
포스페이스(Four-Faith) 라우터에서 새롭게 발견된 취약점이 실제 공격에 악용되고 있어 전 세계적으로 15,000대 이상의 기기가 심각한 보안 위협에 노출된 것으로 확인됐다. 해당 취약점은 'CVE-2024-12856'으로, 공격자가 인증 없이 명령어를 실행할 수 있는 운영 체제(OS) 명령 주입 취약점으로 평가된다.
이 취약점은 CVSS 점수 기준 7.2로 평가됐으며, 주로 포스페이스 F3x24 및 F3x36 모델에서 발견됐다.
보안 연구기관 벌른체크(VulnCheck)에 따르면, 이 취약점은 라우터의 /apply.cgi 엔드포인트를 통해 'adj_time_year' 매개변수를 조작함으로써 악용된다. 해당 취약점은 원칙적으로 공격자가 인증 절차를 통과해야 작동하지만, 기본 자격 증명으로 설정된 라우터의 경우 인증 없이도 악용될 가능성이 커진다.
벌른체크는 CVE-2024-12856을 악용하는 공격이 최근 발견됐다고 밝혔다. 공격자는 기본 자격 증명을 이용해 라우터에 접근한 뒤 역셸(reverse shell)을 생성해 지속적인 원격 접근 권한을 확보하는 것으로 나타났다. 이번 공격은 IP 주소 178.215.238[.]91에서 시작됐으며, 이 주소는 과거 포스페이스 라우터의 또 다른 취약점인 'CVE-2019-12168'을 악용한 사례와 연관이 있는 것으로 밝혀졌다.
그레이노이즈(GreyNoise)라는 보안 인텔리전스 기관은 2024년 12월 19일까지도 CVE-2019-12168을 악용하려는 시도가 관찰됐다고 보고하며, 포스페이스 라우터가 지속적으로 해커들의 표적이 되고 있다고 경고했다.
공개된 센시스(Censys) 데이터를 통해 15,000대 이상의 인터넷 연결 기기가 위험에 처해 있는 것으로 나타났다. 이들 기기 중 일부는 이미 2024년 11월 초부터 공격 시도가 있었던 증거가 발견됐다.
벌른체크의 보안 연구원은 “HTTP를 통해 포스페이스 F3x24와 F3x36 모델을 대상으로 해당 취약점이 악용될 수 있다”며 “특히 기본 자격 증명이 설정된 시스템은 OS 명령 주입에 더욱 취약하다”고 강조했다.
현재까지 포스페이스는 이 취약점에 대한 패치를 공개하지 않은 상태다. 벌른체크는 2024년 12월 20일에 해당 취약점을 제조사에 보고했지만, 공식적인 대응이나 공지는 없는 상황이다. 이러한 제조사의 침묵은 사용자들을 지속적인 위협에 노출시키고 있다.
보안 전문가들은 기본 자격 증명을 방치하는 것이 IoT 및 라우터 보안의 가장 큰 취약점 중 하나라고 경고했다. 기본 설정을 이용한 공격은 초기 보안 장벽을 간단히 무너뜨릴 수 있기 때문이다.
사용기관은 ▲기본 자격 증명을 변경하여 강력하고 고유한 비밀번호를 설정. ▲필요하지 않은 서비스나 포트를 비활성화. ▲네트워크 분리를 통해 노출 범위를 최소화. ▲정기적으로 펌웨어 업데이트를 확인하고, 업데이트가 있을 경우 즉시 적용해야 안전할 수 있다.
이번 CVE-2024-12856 취약점 악용 사례는 IoT 환경에서 보안 관행을 소홀히 했을 때 발생할 수 있는 심각한 위험을 보여주는 사례다. 제조사가 패치를 공개하기 전까지는 기본 자격 증명 변경과 같은 예방 조치에 초점을 맞추는 것이 중요하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[기고] 내부자 기술유출, 어떻게 접근해야 하나](https://img.newspim.com/news/2024/09/23/2409230817161360.jpg)
