중국 최대 CCTV 기업 하이크비전에서 8만 대 이상의 CCTV에 영향을 줄 수 있는 보안 취약점이 발견됐다. 이번 취약점은 Watchful IP라는 이름으로 온라인에 접속한 한 보안 연구원에 의해 처음 알려졌다.
YFIRMA 보안 연구팀에 따르면, 발견된 취약점(CVE-2021-36260)은 명령 주입과 관련이 있으며, 하이크비전 IP CCTV, NVR 펌웨어의 인증되지 않은 RCE(Remote Code Execution)로 인해 발생한다.
YFIRMA 연구팀은 “하이크비전의 대부분의 CCTV는 최신 펌웨어를 사용하더라도 중요한 원격 비인증 코드 실행에 취약하다. 취약점은 실행하는 웹 서버에 특수하게 조작된 메시지를 보내 명령을 주입할 수 있게 만든다”라고 설명했다.
이어 “이를 통해 해커는 무제한 루트 셸로 장치를 완전히 제어할 수 있다. 이는 사전 정의된 입력을 필터링하는 제한된 보호된 셸(psh)로 제한되기 때문에 장치 소유자보다 훨씬 더 많은 액세스 권한이 있다. 제한적이고 대부분 정보를 제공하는 명령 집합이다"라고 말했다.
IP CCTV를 손상시키면 해커는 장치를 이용해 관련 인프라를 제어할 수 있는 내부 네트워크에도 접근할 수도 있다. 연구팀은 이 문제를 악용하는데 사용자 상호 작용이 필요하지 않으며, 공격자는 http(s) 서버 포트에만 접근하면 된다고 지적했다. 또한 연구팀은 테스트를 통해 2016년 이후 개발된 모든 펌웨어가 취약점에 노출된 것으로 확인했다.
하이크비전의 한 공급업체는 “하이크비전 제품의 웹 서버에 있는 명령 주입 취약점, 불충분한 입력 유효성 검사로 인해 해커가 악성 명령이 포함된 일부 메시지를 전송해 명령 주입 공격을 시작할 수 있다”라고 말했다.
이번 취약점의 근본 원인은 불충분한 입력 유효성 검사에 있다. 취약점은 6월에 벤더에 보고됐으며 9월 19일 업데이트됐다. 이후 CVE-2021-36260에 대한 두 가지 익스플로잇이 2021년 10월과 2022년 2월에 각각 공개됐다. 2021년 12월, 포티넷 연구팀이 미라이 기반 봇넷 무봇(Moobot)이 일부 하이크비전 제품의 웹 서버에 있는 취약점을 활용하고 있다고 보고했다.
포티넷 측은 “분석하는 동안 우리는 이 취약점을 악용하여 장치의 상태를 조사하거나 피해자로부터 민감한 데이터를 추출하려는 수많은 페이로드를 관찰했다. 특히 하나의 페이로드가 우리의 관심을 끌었다. 미라이 기반의 DDoS 봇넷인 무봇을 실행하는 감염 행위를 보이는 다운로더를 드롭하려고 한다”라고 분석했다.
하이크비전 CCTV 공격하는 악성코드 '무봇'
포티넷 연구원은 ‘hikivision’이라는 매개변수가 있는 무봇 악성코드 다운로더를 발견했으며, 최종 페이로드인 macHelper도 발견했다. 이 악성코드는 관리자가 감염된 장치를 재부팅하지 못하도록 기본 명령을 바꾼다.
CYFIRMA 연구팀은 이번 취약점을 악용해 하이크비전의 CCTV를 공격하려는 여러 해커를 발견했다. 연구팀이 2022년 7월 기준 인터넷에 노출된 약 28만 5000개의 하이크비전 웹 서버를 분석한 결과, 하이크비전 CCTV를 사용하는 상위 10개 국은 중국, 미국, 베트남 순이었다. 이 외에도 10개가 넘는 국가가 연관돼 있다. 전문가에 따르면, 하이크비전 제품을 사용하는 2300개 이상의 조직이 취약점에 노출된 상황이다.
CYFIRMA 연구팀은 “우리는 MISSION2025/APT41, APT10 및 그 계열사와 같은 중국 해커 조직과 알려지지 않은 러시아 해커가 이번 장치의 취약성을 악용할 수 있다고 믿을 만한 이유가 있다”라고 말했다.
전문가들은 중국과 연결된 APT41 및 APT10, 러시아와 연결된 APT 그룹을 비롯한 여러 위협 행위자가 취약한 장치를 표적으로 삼을 수 있다고 지적했다.
한편, 하이크비전이 2021년 9월 이번 취약점에 대한 패치를 진행했지만, 여전히 수만 개의 장치가 아직 패치되지 않은 상황이다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
