브라질 DSL모뎀공격이 장치보안을 어떻게 바꾸었나? / Did Brazil DSL Modem Attacks Change Device Security?

2011년부터 2012년 까지, 수백만의 브라질 인터넷 유저들은 취약한 DSL 모뎀으로 인해 대량 공격의 피해를 보았습니다. 원격으로 모뎀을 구성함으로써, 공격자들은 유저들을 악성 DNS서버로 유인할 수 있었습니다. 구글, 페이스북과 같은 유명한 웹페이지에 접속하려 하였던 피해자들은 대신해 가짜 웹페이지에 들어갔습니다. 이러한 악성 페이지들은 피해자들의 컴퓨터에 멀웨어를 설치하였습니다.

브라질 컴퓨터 긴급대응팀의 통계 자료를 이용하여 캐스퍼스키 연구소 파비오 아쏠리니는 이 공격은 최종적으로 450만개 이상의 DSL 모뎀을 감염시켰다고 이야기 하였습니다.

보안분석가들은 펌웨어 취약점을 더 이상은 참고 견딜수 없다고 이야기 하면서 이 브라질 해킹사건에 대해서 상세히 설명하였습니다. 계속해서 증가하는 펌웨어 공격의 빈도로, 더 좋은 보안이 가장 필요로 한 것은 틀림없다는 사실은 분명해 졌습니다. 그러나 장치보안이 과거 10년에 비해서 지금 의미있게 개선이 되었을까요?

  From 2011 to 2012, millions of Internet users in Brazil fell victim to a massive attack against vulnerable DSL modems. By configuring the modems remotely, attackers could redirect users to malicious domain name system (DNS) servers. Victims trying to visit popular websites (Google, Facebook) were instead directed to imposter sites. These rogue sites then installed malware on victims’ computers.  
  According to a report from Kaspersky Lab Expert Fabio Assolini citing statistics from Brazil’s Computer Emergency Response Team, the attack ultimately infected more than 4.5 million DSL modems.
  The Brazil incident illustrated that security experts could no longer afford to ignore firmware vulnerabilities. With the frequency of firmware attacks continuing to rise, it’s clear that greater security must be a priority. But has device security meaningfully improved in the past decade?



브라질 DSL 모뎀을 해킹한 것은 무엇이었을까요? / What Was the Brazil DSL Modem Hack?

아쏠리니에 따르면, 모뎀 안에있는 칩셋드라이버가 초기 취약점인 것처럼 보인다고 이야기 하였습니다. 칩셋 드라이버들은 장치의 메인보드와 알맞게 통신을 할 수 있게 해 주는데, 취약점들은 공격자들이 CSRF 크로스사이트 위조요청 공격을 실행할 수 있도록 하였습니다.

CSRF는 암호를 훔칠수 있는 간단한 스크립트를 사용하여, 원격으로 로그인해 장치를 장악하였습니다. 그러면 공격자들은 악의적인 DNS 서버로 연결할 수 있도록 중간에 탈취한 모뎀을 구성하였습니다. 침해를 받은 모뎀을 사용한 모든 사람들은 정상적인 웹페이지처럼 흉내내는 가짜 웹페이지로 우회시켰습니다. 속이고 있는 웹페이지에 들어가자마자, 가짜 웹페이지는 방문자들이 잘못된 은행 멀웨어를 다운로드 받도록 유도합니다. 

이 간단한 펌웨어의 취약점은 의심스러운 DNS서버들 40개를 사용하고 있는 6개의 하드웨어를 침범하였습니다. 공격자들은 결국 수백만의  개인과 기업의 유저들이 들어가 있는 네트워크 장치들에 다가갔습니다.

  According to Assolini, the initial vulnerability appeared to be a chipset driver inside the modems. Chipset drivers enable proper communication with device motherboards. This vulnerability allowed actors to launch a cross-site request forgery (CSRF) attack.  
  CSRF uses a simple script to steal passwords and remotely log in to take control of devices. Attackers then configured the hijacked modems to link to malicious DNS servers. Anyone using the compromised modems was redirected to fake websites that mimicked legitimate sites. Upon landing on imposter sites, the fake sites lured visitors into downloading banking fraud malware.
  This single firmware weakness compromised six hardware manufacturers using 40 malicious DNS servers. The attack eventually reached network devices belonging to millions of individual and business users.

어떻게 오늘날 펌웨어를 보호할 수 있을까요? / How Secure is Firmware Today?

브라질 DSL 모뎀공격 사건이 있던 이후에, 하드웨어 장치의 보안이 개선되었을까요? 아닐것 입니다. 
2018년도 부터 2021년도 까지 펌웨어 공격들은 500% 증가를 하였다고, NIST 국가 취약점 데이터가 보여주었으며, 또한  80%이상의 기업들은 같은기간동안 적어도 1개의 펌웨어 공격을 경험하였다고, MS 보고서에서 알 수 있었습니다.  MS 보고서는 또한 오직 펌웨어를 보호하기위해 29%의 보안예산이 편성되었다고 밝히고 있습니다. 

그런데 포레스트에서 실시한, '앤드포인트 보호 리포트에 대한 새로운 개척자' 에서 Dell의 BIOS보안 이 있었습니다. 이 보고서는 300명 이상에게 설문을 하여서 하드웨어 레벨의 보안문제의 심각도를 조사하였습니다. 겨우 조사해 응한 기업의  2/3 만이 하드웨어 공급망으로 인해 중간에서 높은정도의 위협에 노출 되었다고 하였습니다.  오직 59% 만의 조사참가원들이 이야기 하기를 그들은 적절한 보안 정책들을 수행하였다고 합니다. 


  Since the Brazil DSL modem attack incident, has hardware device security improved? Maybe not.
  The NIST National Vulnerability Database shows that attacks on firmware rose by 500% from 2018-2021. Meanwhile, a Microsoft report showed that more than 80% of enterprises experienced at least one firmware attack during the same time period. The Microsoft report also revealed that only 29% of security budgets are allocated to protect firmware.
  Then there’s Dell’s BIOS Security – The Next Frontier for Endpoint Protection report, conducted by Forrester. It surveyed more than 300 employees to examine the severity of hardware-level security issues. Nearly two-thirds of organizations surveyed said they have a moderate to high level of exposure to threats due to the hardware supply chain. Only 59% of study participants said they had implemented adequate security strategies.

IOT 위협의 증가  / The Larger IoT Threat

사이버 사건에 관련해서, 우리는 종종 소프트웨어 취약점 또는 피싱 공격에 대해서 생각하곤 합니다. 브라질의 DSL 모뎀 사건은 드라이버 취약점으로 시작했습니다. 그러나 가장 원칙적으로 생각해 보면, 드라이버 또한 소프트웨어 입니다. 하드웨어 공격은 아마 펌웨어 또는 창치에 설치된 또 다른 소프트웨어를 공격의 대상으로 삼습니다. 아마도 최고의 접근방법은 즉시 사용가능한 장치들의 현재 상황을 파악하는 것 입니다.

가장 큰 하드웨어와 관련된 취약점 시나리오 중에 하나는 사물인터넷 입니다. 인터넷과 연결된 장치들은 종종 "관리자"와 "비밀번호"와 같은 기본 비밀정보를 가지고 있습니다. 많은 장치의 제조업자들은 유저들이 새로이 고유 이름과 비밀번호를 셋팅할 필요가 없게 하기 때문에, 이러한 장치들은 기본 비밀정보를 가진채 이쓴 장치들은 해킹을 하기가 쉬워 집니다. 

기본 설정을 바꾼 이후라 할지라도, IoT장치에 들어갈 수 있는 다른 방법들이 있습니다. SSH와 텔넷 통신서비스들은 해커들이 장치에 뚫고 들어갈수 있게 합니다. 장치의 웹 어플에서 비밀번호를 바꾸는 것이 장치 그 자체에 심어져 있는 비밀번호를 바꾸는 것은 아닐 수 있기 때문입니다. 게다가 유저들은 쉽게 펌웨어에 하드코드된 이 비밀번호를 바꿀 수 없을 것입니다. 이 웹 화면은 심지어 이러한 비밀정보가 존재하는 것을 알지 못하게 할 수 있습니다.

2016년  트위터, 스포티, 넷플릭스, 레딧, 이스티, 깃허브와 같은 유명 브랜드의 웹 트래픽을 관리하는 "딘"을 해커들이 장악한 방법은 정교하였습니다. 공격자들은 웹캠, DVR과 같은 최소 10만개의 장치들을 마음대로 하기 위해서 미라이 멀웨어를 삽입하였습니다. 이 장치들은 좀비화 되어 딘에게 대량의 DDoS 공격을 실행하였습니다.

오늘날 IoT 는 모든 영역에 있어서 존재합니다. 공격은 심장기기, 웹캠, 아기 모니터, 자동차 그리고 F15 제트기에 일어날 수 있습니다. CISA 최근 권고에 따르면 산업용 통제 시스템 ICS와 데이터 수집 장치 SCADA에 취약점에 대한 경고를 하고 있습니다. 위험의 강도를 고려해 보면, 하드웨어와 장치보안은 결코 무시될 수 없는 것은 분명합니다.

  When it comes to cyber incidents, we often think about software vulnerability or phishing attacks. The Brazil DSL modems incident began with a driver vulnerability. But in the most fundamental sense, drivers are software too. A hardware attack may target firmware or any other software installed on the device. Perhaps the best approach is to evaluate the state of any device out of the box.
  One of the biggest hardware-related vulnerability scenarios is Internet of Things (IoT). Internet-connected devices often come with default credentials like “admin” and “password”. Because many device makers don’t require users to set up a new unique username and password, these devices remain with default credentials which are easy to hack.
  Even after changing the defaults, there are other ways to break into IoT devices. SSH and telnet communication services let hackers force their way into devices. This is because changing the password on a device’s web app does not always change the password coded into the device itself. What’s more, users cannot feasibly change these passwords hardcoded into the firmware. The web interface may not even be aware that these credentials exist.
  In 2016, this was precisely how attackers took down Dyn, a company that managed web traffic for major brands such as Twitter, Spotify, Netflix, Reddit, Etsy and Github. Threat actors inserted Mirai malware to commandeer at least 100,000 devices (webcams, DVRs, etc.) as zombies to launch a massive DDoS attack against Dyn.
  Today, IoT has penetrated just about every sector. Attacks can happen on cardiac devices, webcams, baby monitors, cars and even F15 fighter jets. There was also a recent CISA advisory warning about vulnerabilities in the industrial control system (ICS) and data acquisition (SCADA) devices. Given the risk magnitude, it’s clear that hardware and device security cannot be ignored.

제로트러스트로 시작하기 / Start with Zero Trust

기업이라는 경계로 더이상 보안을 지켜줄 수 는 없습니다. 원격근무와 연결된 장치들이 도처에 존재하는 상황이 더 많은 취약점을 만듭니다. 아마도 IT환경을 보호하는 가장 빠르고 가장 이해할 만한 방법은 제로트러스트 접근법 입니다. 제로트러스트는 앱, 유저, 소프트웨어, 장치 또 다른 컴퓨팅 요소들로 구성되어 있으며, 보안의 정책을 강화하기 위한  장소보호체계로 도움을 받게 됩니다. 

제로 트러스트는 기본적으로 접근을 거부하는 것을 의미합니다. 유저들과 장치들은 계속해서 감시하고 평가해야합니다. 그리고 주어진 접근은 최소한의 특권과 계정접근 관리 원리로 되어야 합니다. 행동가능한 지식을 제공하기 위해, 인공지능 기반의 상황분석이 이러한 많은 것들을 지원합니다.
 

  The enterprise perimeter can no longer be a security gatekeeper. The ubiquity of remote work and connected devices creates even more vulnerabilities. Perhaps the fastest and most comprehensive way to secure your IT ecosystem is through a zero trust approach. In zero trust, two workloads — apps, users, software, devices or any other computing component — benefit from a local protection scheme to enforce security policies.
  Zero trust means access is denied by default. Users and devices are continually validated and monitored. And access is granted based on least privilege and identity access management (IAM) principles. Much of this is supported by contextual analytics via artificial intelligence for actionable insights.

하드웨어 자재 및 패치 목록 / Hardware Bill of Material and Patching

하드웨어 보안에 있어서, 전문가들은 하드웨어 자재 목록과 패치 전략을 조언합니다. 

하드웨어 자재목록을 만드는 것은 네트워크에 연결된 하드웨어와 장치들을 목록화 하는 것에서 시작합니다. 여기에서 부터 당신은 하드웨어 보안장치들을 추적하고 목록화 합니다. 어떤 실리콘 버전이 취약한지, 어떤 제품이 오염된 칩을 사용하였는지를 이해하는 것이 보호의 시작입니다. 이것은 위협평가를 할 수 있게 하여 어떤 가이드가 패치하고 보안 업데이트 프로토콜을 줄지를 가이드 합니다. 

당신은 우선 모든 장치를 패치할 수 없기 때문에, 우선 적절한 우선순위가 필요합니다. 예를들면 어떤 취약점이 미션 크리티컬한 시스템에 가장 가까운가요? 장치들은 언제든지 추가될 수 있다는 것을 기억해야 합니다. 그래서 네트워크 장비의 목록을 최신으로 업데이트 하는 것이 중요합니다. 자동화된 하드웨어 자산을 관리하는 프로그램이 이러한 것에 큰 도움을 줄 수 있습니다. 


  For hardware security, experts also recommend hardware bill of material (HBOM) and patching strategies.
  Establishing an HBOM begins with cataloging all the hardware and devices connected to your network. From there, you track and document hardware security vulnerabilities. Protection begins with understanding which silicon versions are vulnerable and what products use contaminated chips. This enables business risk assessment which guides patching and security update protocols.
  Since you can’t patch all devices at once, proper triage is essential. For example, what vulnerabilities are nearest to mission-critical systems? Remember, devices can be added at any time. So it’s critical to maintain an up-to-date network device inventory. Automated hardware inventory management programs can be a great help here.

https://securityintelligence.com/articles/brazil-dsl-modem-attacks-changed-security/