안녕하세요, 한두달 전 쯤에 ASUS 공유기에 나타나는 정체 불명의 IP에 대해서 질문을 올렸었는데요,
제 결론은 ASUS 공유기에 악성 앱이 설치된 다음에
이 앱이 제 network 내부의 서버(synology)도 공격하는 하는 것으로 결론을 내렸습니다.
증상이 다양한데
- ethernet으로 접속된 기기로 나타남
- admin으로 접속하면 그 기기가 잠깐 나타났다가 사라짐
- ASUS 모바일 앱으로 확인하면 사라지지 않고 정보가 유지 되는데 MAC 주소가 FOXCONN 제조의 알 수 없는 기기로 나타남
- Local network에서 network packet을 logging 해보면, 내부 서버로의 추가 해킹도 시도함.
- 나중에는 내가 등록한 다른 기기의 MAC을 복사해서 정체를 숨김(내 디바이스가 접속한 것 처럼 나타남)
- 강제로 해당 MAC을 ban 하고 bandwidth를 설정하는 등등 펌업, 공초. 등등 다 해봐도
설정이 풀리거나 변경되는 등 대책이 없음.
이 문제로 국내 ASUS AS에 연락하니, 미국 본사와 연계를 해줌
-> 인터넷으로 검색되는 알려진 CVE 보안 패치 적용을 요청하하니 ASUS에서, AC87은 warranty 기한이 지났고 ,
H/W 문제라고 기기를 바꿔주겠다고 함.
-> S/W 문제임을 재차 주장하고 log를 추가로 보내면서 해킹의 증거를 보여주니,
결국 새로운 firmware를 배포해줌, ASUS에서는 설정도 초기화하면서 펌웨어 업데이트를 추천함
ASUS와 최초 연락을 해서 패치를 받을 때까지 1달, 패치를 받은지 1달 정도 지났는데요,
, 그동안 저는 IP time으로 공유기를 교체해버려서 아직 Test는 하지 않았습니다.
내일 부터 다시 적용해서 한달 정도 사용해보고 결과를 공유드리겠습니다. ^^
해외에서는 커피샵 공유기를 해킹해서 BitCoin 채굴기로 사용하는 사례가 빈번하게 발견된다는 정보를 입수하고 제 공유기를 확인해본 것이 시작이었는데요, 일반 가정집의 공유기가 탈탈 털리고 있는 상황이니.. 보안 문제가 심각한것 같습니다 ㅜㅜ.
2018년 패치면 될것 같습니다. 확인후에 추가로 댓글 달겠습니다.
"Thank you for contacting ASUS product support, my name is (XXXX) appreciate your patience and for giving us time to come up with a resolution for your case. After collaborating with our support staff, we are now able to provide you with a recommendation on how to address your concern.We've released a new firmware for this model, kindly update to new firmware and reset it again, and do manual setup for everything (not import old FW's configuration file) to prevent conflict issue between new/old firmware,"
펌웨어 패치하거 공초하고 증상이 사라졌다가 4년 만에 같은 증상이 또 나타났네요.
다른 취약점으로 유사한 멀웨어 침투가 있었던거 같습니다.
이번에는 asus 라우터 자체에서도 infected device로 탐지를 합니다..
Warrenty 기간이 넘 오래되어서. 이번에는 저도 공유기를 바꿔야 할것 같습니다