시스코, 설트에서 발견된 두 가지 치명적인 취약점 패치해

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88587

내용 요약

시스코가 설트(Salt)에서 발견된 두 개의 취약점을 패치했다. 설트는 환경설정 도구로 설트 관리자(Salt Manager)라는 요소를 활용해 분산된 에이전트들로부터 보고서를 수집한다. 발견된 취약점은 CVE-2020-11651과 CVE-2020-11652로 인터넷에 연결된 설트 관리자가 취약한 버전(설트관리자 2019.2.3버전, 설트 3000.1및 이전 버전)일 경우 익스플로잇을 통해 루트 권한을 획득할수 있다.  해당 취약점으로 리니지 OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)등이 있다.

VM웨어, 고위험군 패치 두 번째 실패...맥 환경은 여전히 위험

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88590&kind=14

내용 요약

VM웨어가 맥OS용 퓨전(Fusion)에 대한 취약점 패치를 배포하였었는데 해당 패치를 통해 오히려 새로운 권한상승 취약점을 유발하는것으로 나타나 새로 패치를 발표했다. 기존 취약점은 VM웨어 퓨전 내 원격 콘솔과 호라이즌 클라이언트(Horizon Client)에서 발견된 권한상승 취약점(CVE-2020-3950)이다. 두번째 패치후 발표된 취약점은 CVE-2020-3957로, TOCTOU 취약점의 일종으로 설명된다. VM웨어는 이 TOCTOU 취약점 또한 접수 및 인정했다. 그리고 지난 주 퓨전 11.5.5 버전을 발표하며 이 문제를 해결했다. 그러나 위에 언급된 맥용 VMRC와 호라이즌 클라이언트에 대한 패치는 아직 나오지 않은 상태다.

TOCTOU : time-of-check time-of-out의 준말로, 검사 시점과 사용 시점이라는 뜻이며, 특정 자원을 확인하고 실제로 사용하는 시간차로 인해 발생하는 취약점을 말한다.

블루크랩 랜섬웨어 '비대면' 트렌드 맞춰 사이버 공격 활개

수집 날짜

2020-06-02

원문 링크

http://it.chosun.com/site/data/html_dir/2020/06/01/2020060103839.html

내용 요약

안랩에서 코로나19 유행 동안 랜섬웨어 일종인 '블루크랩(BlueCrab)' 유포에 쓰인 키워드 분석 결과를 1일 발표했다. 대다수의 키워드는 원격근무와 온라인 교육 등 비대면 관련 항목이 다수를 차지했다. 안랩에 따르면 블루 크랩 공격자는 사용자가 검색 사이트에서 특정 키워드로 검색하면 미리 만들어 둔 피싱 사이트와 악성 파일을 검색 결과에 노출해 사용자를 유인한다. 안랩은 "코로나19 국면이 이어지면서 공격자는 앞으로도 키워드를 활용해 블루크랩을 유포할 것으로 보인다"며 각종 보안수칙을 준수해야 한다고 조언했다.

삼성 키보드처럼 유지 보수 중단된 앱들, 보안 위협 된다

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88588&kind=4&sub_kind=

내용 요약

지속적인 개발 및 개발 행위가 이뤄지지 않는 소프트웨어 라이브러리들은 보안에 취약하다. 개발자가 신경쓰지 않는 앱이나 책임자가 없는 오픈소스들은 위협의 가능성이 높기 때문이다 대표적으로 삼성 키보드가 있다. '개발 행위도 없는데 설치되어 있는' 위험한 앱으로 실제 공개된 취약점이 존재한다. 심지어 삼성 키보드 앱은 열람을 제한하고 있어 버전확인도 힘들다. 사용자들은 여전히 이러한 앱들을 설치하고 있어 OS 차원에서 알려줄 필요성이 있다. 또한 사용자들은 사용하지 않는 앱을 주기적으로 찾아 지우고 업데이트를 해야 한다.

Joomla data breach leaks 2,700 user records via exposed backups

수집 날짜

2020-06-02

원문 링크

https://www.bleepingcomputer.com/news/security/joomla-data-breach-leaks-2-700-user-records-via-exposed-backups/

내용 요약

Joomla 데이터베이스 누출로 인해 Joomla Resources Directory (JRD)에 등록 된 2,700명의 개인정보가노출되었다. Joomla 팀원과 전 팀장이 소유 한 타사 회사가 Amazon Web Services (AWS) S3 버킷에 JRD 사이트의 완전하고 암호화되지 않은 백업이 저장되어 누출이 발생했다고 한다. Joomla는 JRD 및 기타 웹사이트에서 비밀번호 변경을 권고하였다. 또한 해당 권고문에는  Joomla의 사고 대응 작업 그룹이 시스템 감사, 침해 지표 (IoC) 식별, 의심스러운 사용자 계정 제거, 개인 정보 보호 기능 구성 및 업데이트 된 소프트웨어 구성 요소 (예 : 7.3으로 충돌 한 PHP 버전)를 제거하기 위해 수행 한 광범위한 일련의 단계가 나열되어 있다.

블로그 서비스 라이브저널에서 3300만 사용자 정보 유출되었나

수집 날짜

2020-05-29

원문 링크

https://www.boannews.com/media/view.asp?idx=88516

내용 요약

블로그 사이트 라이브저널(LiveJournal)의 사용자 2600만명의 개인정보가 다크웹에서 거래되고 있다고 한다. 현재 분석 결과 2014년부터 침해가 이뤄진 것으로 보이며 총 3300만여개의 계정이 해킹당한 것으로 나타났다. 공격자들이 해당 자료를 가지고 각종 사이트를 겨냥하여 크리덴셜 스터핑 공격을 실시했다고 한다.  또한 이미 협박을 받고 있다는 제보가 이어지고 있다고 한다. 현재 라이브저널 측은 해당 사실을 인정하지 않고 있다.

참고 : 크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다.

부산대 온라인 강의 플랫폼, 3차례 해커 공격 당해

수집 날짜

2020-05-29

원문 링크

https://www.nocutnews.co.kr/news/5351331

내용 요약

부산대학교 온라인 강의 플랫폼 '플라토' 서버 해킹 시도가 잇따라 교육부가 조사에 나섰다고 28일 밝혔다. 5월 한달간 3차례에 걸쳐 공격을 받았으며 정보유출 등 다른 피해는 없었다고 대학측에서는 설명했다. 공격을 당한 2차례는 시스템 전체에 오류가 발생했던것으로 알려졌다. 해킹 시도 방식이나 시간대로 보아 같은 해커의 소행으로 보고 있으며 현재 조사중에 있다.

"군사기밀 노린 해킹 시도 급증...지난해 만 건 육박"

수집 날짜

2020-05-29

원문 링크

https://ytn.co.kr/_ln/0101_202005281022106942

내용 요약

국방부에따르면 해외에서 국방정보시스템을 해킹하려는 시도가 지난 2017년 4천여건에서 지난해 9천 500여건으로 늘었다고 한다. 대부분 중국과 미국의 IP였으며 한번도 뚫리지 않았다고 국방부는 설명했다. 현재 사이버 침해외 사전 공격 징후 확인등 안정성 확보 방안을 연구중이라고 설명했다.

"전자세금계산서 열어보기 전 잠시만요" 국세청 메일로 위장한 악성코드 유포

수집 날짜

2020-05-29

원문 링크

https://www.ajunews.com/view/20200527224009066

내용 요약

27일 이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의를 발표했다. 해당 공격은 특정 대상에게 발송하는 스피어 피싱 공격을 사용하고 있다. 기존 국세청 홈텍스를 사칭하는 공격에서 발신지 주소까지 실제 홈텍스 도메인 처럼 조작하였다고 한다. 이메일에 첨부된 파일은 '.pdf.zip' 으로 이중확장자를 사용하고 있으며 사용자 PC의 탐색기 폴더 옵션이 확장자 숨김 처리가 되어있을 경우 실제 pdf 파일 처럼 보여 의심없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우 폼북(Formbook) 유형의 악성코드에 감염돼 다른 해킹 피해로 이어질수 있어 각별한 주의가 필요하다.

참고 : Formbook 멀웨어 - 악성 매크로가 포함된 pdf, doc/xls 파일이나 실행가능한 페이로드가 포함된 압축파일과 같은 다양한 형태의 이메일 첨부 파일로 확산됨

Cisco hacked by exploiting vulnerable SaltStack servers

수집 날짜

2020-05-29

원문 링크

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

내용 요약

28일 시스코에서 SaltStack 취약점을 악용한 서버 공격을 당했다고 밝혔다. 해킹당한 서버는 VIRL-PE (Virtual Internet Routing Lab Personal Edition) 백엔드 서버 중 일부로 솔트 마스터 서버를 유지 관리하는 서버 이다. 시스코에서 릴리즈 버전 1.2와 1.3을 사용하는 백엔드 서버 6대가 해킹당했다는 사실을 확인했고 2020.05.07에 패치를 적용하였다. 공격자는   CVE-2020-11651와 CVE-2020-11652를 악용하여 인증되지 않은 공격자에게 완전한 읽기 및 쓰기 액세스 권한을 제공하고, 솔트마스터 서버에 대한 인증에 필요한 비밀키를 루트로서 도용할 수 있는 공격을 한다. 5월 1일 분석 검샌 엔진 Crintys에 따르면 인터넷에 노출된 SaltStack 서버 취약점 공격 가능성이 있는 서버는 5,000개가 넘는 것을 나타났다.

[참고]

CVE-2020-11651 : 인증 무시 취약성

CVE-2020-11652 : 디렉토리 트래버셜

큐냅 NAS에 설치된 포토 스테이션에서 치명적 취약점 4개 발견

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88339&kind=&sub_kind=

내용 요약

큐냅이 개발한 NAS 내부 포토 스테이션 애플리케이션에서 작년 4가지 취약점이 발견됐었다. 큐냅의 포토 스테이션은 사진앨범 애플리케이션으로, 큐냅 NAS 장비의 약 80% 설치되어 있다. 해당 취약점을 연속으로 익스플로잇 할 경우 루트 권한으로 원격 코드 실행이 가능하다. 패치 버전은 작년 11월 발표되었으며 패치 버전으로 업데이트를 해야한다.

이스라엘 인터넷홈페이지 수백개 해킹…"이스라엘 파멸" 메시지

수집 날짜

2020-05-22

원문 링크

https://www.yna.co.kr/view/AKR20200521179300079

내용 요약

5/21 이스라엘 '예루살렘의 날' 기념일에 맞춰 반이스라엘 사이버 공격이 등장했다. 이스라엘 내 사이버 보안업체 '체크포인트'는 해당 공격을 받은 인터넷 홈페이지의 화면에는 반이스라엘 내용을 담은 동영상이 올라왔고, 당일 약  300여개의 홈페이지가 공격을 당했다고 발표했다.

수억 건의 이메일 정보 거래하던 의문의 해커, 우크라이나서 체포

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88349&kind=4&sub_kind=

내용 요약

다크웹에서 '컬렉션 1'이라는 데이터 덤프에서 수많은 크리덴셜 정보를 추출해 판매했던 해커가 우크라이나에서 체포됐다고 한다. 사닉스(Sanix)라는 이름으로 활동하던 용의자는 약 7억 7300만건의 이메일 주소와 2100만 건의 비밀번호를 작년부터 거래해온 혐의를 받고 있다. '컬렉션 1'은 2019년에 다크웹에 등장한 이메일주소 DB로 이메일 주소/비밀번호 조합으로 저장되어 있다고 한다. 사닉스가 2019년 유명한 보안 블로거와 인터뷰 당시 '컬렉션 1'와 비슷한 DB가 몇개 더 있고 총 4TB 정도 된다고 했었다. 이번에 발견된 것은 2TB 정도로 해당 인터뷰가 사실이라면 남은 DB를 더 찾아야 되는 상황이다.

랜섬웨어 생태계의 최신 유행 모두 담은 넷워커, 주목해야 할 위협

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88341&kind=4&sub_kind=

내용 요약

호주의 톨(Toll) 그룹을 감염시켰던 넷워커 랜섬웨어가 RaaS 형태로 범죄자들에게 공급되기 시작했다. 기존의 RaaS 형태와는 다르게 대규모 공격 인프라를 가지고 있는 사이버 범죄자들과 주로 교류하고 있으며 파트너쉽 신청서를 받아 심사를 통해 선정한다고 한다. 넷워커 운경자들은 기술과 전략적인 측면에서 최신 유행을 갖추고 있는 것으로 보인다.

Critical Cisco Bug in Unified CCX Allows Remote Code Execution

수집 날짜

2020-05-22

원문 링크

https://threatpost.com/critical-cisco-rce-flaw-unified-ccx/155980/

내용 요약

시스코 고객 상호작용 관리 솔루션인 Cisco Unified Contact Center Express (CCX)에서 원격 코드 실행 취약점이 발견되었다. Java 원격 관리 인터페이스에서 역직렬화와 비직렬화로 인한 취약점으로 해당 결함을 악용할 경우 임의의 코드를 실행할 수 있다. Cisco Unified CCX 버전 12.0 이하에서 영향을 받으며 패치된 버전은 12.5이다.