□ 개요  
 o IoT 기기를 대상으로 한 IoT 리퍼(Reaper), IoT 루프(roop) 봇넷이 국외에서 발견  
 o IoT 리퍼,  루프 감염 시 DDoS 공격에 악용될 수 있어 사용자 주의가 필요함  
   
□ 설명  
 o IoT 리퍼, 루프 악성코드는 관리자 인증 우회 및 원격 코드 실행 취약점 등을 악용하여 IoT 단말 (IP 카메라, 라우터 등)을 감염시킴  
 o 악성코드에 감염된 IoT기기는 명령지 서버에 감염 단말기 정보(Mac주소, 제품정보, 버전 등)를 전송하고 추가 악성코드를 다운로드  
 o 이후, 명령지 서버에 따라 DDoS 공격을 수행 및 취약한 단말 스캔 결과 전송  
    ※ 100여 개(중국 94개, 미국 5개, 러시아 1개)의 오픈 DNS IP가 포함  
   
□ 영향을 받는 IoT 기기  
 o 아래 참고사이트를 확인하여 제조사별 상세 정보 확인  
 o D-LINK  
    - D-LINK 850L 원격코드실행 취약점 [1]  
    - DIR-600/300 원격코드실행 취약점 [2]  
 o Goahead  
    - 원격코드실행 취약점 [3]  
 o JAWS  
    - 웹 인증 우회 취약점 [4]  
 o Netgear  
    - ReadyNAS 원격코드실행 취약점 [5]  
    - DGN 원격코드실행 취약점 [6]  
 o Vacron  
    - 원격코드실행 취약점 [7]  
 o Linksys  
    - 원격코드실행 취약점 [8]  
 o AVTECH  
    - 인증정보노출 및 원격코드실행 취약점[9]  
 o TP-Link  
    - 디렉터리 인증 우회 취약점[10]  
 o MikroTik  
    - 인증우회 및 서비스 거부 취약점[11]  
 o Synology  
    - 원격코드실행 취약점[12]  
   
□ 해결 방안  
 o 해당 제품 사용자는 제조사 홈페이지를 확인하여 최신 펌웨어 업데이트 확인 및 설치  
 o 가능한 경우 IoT 기기를 인터넷에 직접 연결하지 않고 사용 권고  
 o IoT 기기의 초기 관리자 패스워드를 안전하게 변경하여 사용  
 o 영향 받는 IoT 기기의 맥주소는 http://macaddress.webwat.ch/ 사이트를 통해 검색하여 탐지 및 대응  
  
□ 기타 문의사항  
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118  
   
[참고사이트]  
 [1] https://blogs.securiteam.com/index.php/archives/3364  
 [2] http://www.s3cur1ty.de/m1adv2013-003  
 [3] https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html  
 [4] https://www.pentestpartners.com/blog/pwning-cctv-cameras/  
 [5] https://blogs.securiteam.com/index.php/archives/3409  
 [6] http://seclists.org/bugtraq/2013/Jun/8  
 [7] https://blogs.securiteam.com/index.php/archives/3445  
 [8] http://www.s3cur1ty.de/m1adv2013-004  
 [9] https://github.com/Trietptm-on-Security/AVTECH  
 [10] http://www.s3cur1ty.de/m1adv2013-011  
 [11] http://seclists.org/fulldisclosure/2015/Mar/49  
 [12] http://www.kb.cert.org/vuls/id/615910