시스코, 설트에서 발견된 두 가지 치명적인 취약점 패치해

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88587

내용 요약

시스코가 설트(Salt)에서 발견된 두 개의 취약점을 패치했다. 설트는 환경설정 도구로 설트 관리자(Salt Manager)라는 요소를 활용해 분산된 에이전트들로부터 보고서를 수집한다. 발견된 취약점은 CVE-2020-11651과 CVE-2020-11652로 인터넷에 연결된 설트 관리자가 취약한 버전(설트관리자 2019.2.3버전, 설트 3000.1및 이전 버전)일 경우 익스플로잇을 통해 루트 권한을 획득할수 있다.  해당 취약점으로 리니지 OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)등이 있다.

VM웨어, 고위험군 패치 두 번째 실패...맥 환경은 여전히 위험

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88590&kind=14

내용 요약

VM웨어가 맥OS용 퓨전(Fusion)에 대한 취약점 패치를 배포하였었는데 해당 패치를 통해 오히려 새로운 권한상승 취약점을 유발하는것으로 나타나 새로 패치를 발표했다. 기존 취약점은 VM웨어 퓨전 내 원격 콘솔과 호라이즌 클라이언트(Horizon Client)에서 발견된 권한상승 취약점(CVE-2020-3950)이다. 두번째 패치후 발표된 취약점은 CVE-2020-3957로, TOCTOU 취약점의 일종으로 설명된다. VM웨어는 이 TOCTOU 취약점 또한 접수 및 인정했다. 그리고 지난 주 퓨전 11.5.5 버전을 발표하며 이 문제를 해결했다. 그러나 위에 언급된 맥용 VMRC와 호라이즌 클라이언트에 대한 패치는 아직 나오지 않은 상태다.

TOCTOU : time-of-check time-of-out의 준말로, 검사 시점과 사용 시점이라는 뜻이며, 특정 자원을 확인하고 실제로 사용하는 시간차로 인해 발생하는 취약점을 말한다.

블루크랩 랜섬웨어 '비대면' 트렌드 맞춰 사이버 공격 활개

수집 날짜

2020-06-02

원문 링크

http://it.chosun.com/site/data/html_dir/2020/06/01/2020060103839.html

내용 요약

안랩에서 코로나19 유행 동안 랜섬웨어 일종인 '블루크랩(BlueCrab)' 유포에 쓰인 키워드 분석 결과를 1일 발표했다. 대다수의 키워드는 원격근무와 온라인 교육 등 비대면 관련 항목이 다수를 차지했다. 안랩에 따르면 블루 크랩 공격자는 사용자가 검색 사이트에서 특정 키워드로 검색하면 미리 만들어 둔 피싱 사이트와 악성 파일을 검색 결과에 노출해 사용자를 유인한다. 안랩은 "코로나19 국면이 이어지면서 공격자는 앞으로도 키워드를 활용해 블루크랩을 유포할 것으로 보인다"며 각종 보안수칙을 준수해야 한다고 조언했다.

삼성 키보드처럼 유지 보수 중단된 앱들, 보안 위협 된다

수집 날짜

2020-06-02

원문 링크

https://www.boannews.com/media/view.asp?idx=88588&kind=4&sub_kind=

내용 요약

지속적인 개발 및 개발 행위가 이뤄지지 않는 소프트웨어 라이브러리들은 보안에 취약하다. 개발자가 신경쓰지 않는 앱이나 책임자가 없는 오픈소스들은 위협의 가능성이 높기 때문이다 대표적으로 삼성 키보드가 있다. '개발 행위도 없는데 설치되어 있는' 위험한 앱으로 실제 공개된 취약점이 존재한다. 심지어 삼성 키보드 앱은 열람을 제한하고 있어 버전확인도 힘들다. 사용자들은 여전히 이러한 앱들을 설치하고 있어 OS 차원에서 알려줄 필요성이 있다. 또한 사용자들은 사용하지 않는 앱을 주기적으로 찾아 지우고 업데이트를 해야 한다.

Joomla data breach leaks 2,700 user records via exposed backups

수집 날짜

2020-06-02

원문 링크

https://www.bleepingcomputer.com/news/security/joomla-data-breach-leaks-2-700-user-records-via-exposed-backups/

내용 요약

Joomla 데이터베이스 누출로 인해 Joomla Resources Directory (JRD)에 등록 된 2,700명의 개인정보가노출되었다. Joomla 팀원과 전 팀장이 소유 한 타사 회사가 Amazon Web Services (AWS) S3 버킷에 JRD 사이트의 완전하고 암호화되지 않은 백업이 저장되어 누출이 발생했다고 한다. Joomla는 JRD 및 기타 웹사이트에서 비밀번호 변경을 권고하였다. 또한 해당 권고문에는  Joomla의 사고 대응 작업 그룹이 시스템 감사, 침해 지표 (IoC) 식별, 의심스러운 사용자 계정 제거, 개인 정보 보호 기능 구성 및 업데이트 된 소프트웨어 구성 요소 (예 : 7.3으로 충돌 한 PHP 버전)를 제거하기 위해 수행 한 광범위한 일련의 단계가 나열되어 있다.

[긴급] 해킹된 ‘O사단 전우회’ 쇼핑몰 개인정보, 다크웹에 올라왔다

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87994

내용 요약

대한민국 국군 O사단 전역자들의 모임인 'OO 전우회' 쇼핑몰이 해킹돼 해당 쇼핑몰의 회원 정보가 5일 다크웹에 올라온 것으로 드러났다. 다크웹을 집중 연구 및 모니터링하고 있는 보안전문가에 따르면 5일 이름·연락처·주소 등 주문자 및 주문정보, 홈페이지 회원정보 및 회원 이메일, 회원들의 회사정보 등이 총망라된 개인정보가 다크웹에 올라온 게 확인됐다. 해당 정보를 활용한 2차 피해가 우려되는 상황이다.

PDF 첨부파일 ‘NAVER.pdf’의 정체? 개인정보 탈취 피싱!

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87968&kind=&sub_kind=

내용 요약

최근 PDF 첨부파일을 이용한 국내 최대 포털 사이트 피싱공격이 발견되었다. 네이버를 가장한 PDF 파일로 클릭을 유도한 후 개인정보를 탈취하는 피싱 공격이다. 해당 파일명은 'NAVER.pdf'를 사용하고 있으며 실행시 계정 업그레이드가 필요하다며 링크 클릭을 유도한다. 링크 클릭시 피싱 사이트로 이동하게 되며 해당 사이트에 계정 정보를 입력할 경우 개인정보 수집 사이트로 입력된 개인 정보가 전송된다.

TP링크의 NC 시리즈 제품군에서 취약점 다수 발견돼 업데이트 진행

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87989

내용 요약

TP 링크 NC 계열 제품군에서 원격 명령 실행 취약점 등이 발견돼어 펌웨어 업데이트를 발표했다. 사용자 입력값 검증이 없어 발생할 수 있는 명령 주입 취약점과 장비 에일리어스를 설정할 때 사용되는 메소드를 악용하여 쉘 명령을 실행하고 루트에서 임의 명령을 실행 할수 있는 취약점이 발견됐다. 해당 취약점을 활용하면 암호화 된 백업 파일을 웹 인터페이스를 통해 덮어쓰기가 가능하고, 장비에 영구적인 손상을 주는 것도 가능하다.  패치는 지난 4월 29일부터 배포되기 시작했다. TP링크의 NC 제품군을 사용하는 중이라면, 이 패치들을 받아 적용하는 것이 안전하다. 기술적인 세부 사항과 패치 링크는 (https://seclists.org/fulldisclosure/2020/May/4)를 통해 제공되고 있다.

설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87990&kind=4&sub_kind=

내용 요약

지난 며칠 동안 해커들이 설트(Salt) 취약점 두가지를 악용하여 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려하는 시도가 이어졌다. 설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데 사용된다.  현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다. 설트에서 발견된 취약점은 두가지로 CVE-2020-11651과 CVE-2020-11652 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다. 설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

Google Android RCE Bug Allows Attacker Full Device Access

수집 날짜

2020-05-06

원문 링크

https://threatpost.com/google-android-rce-bug-full-device-access/155460/

내용 요약

구글이 안드로이드 OS에 영향을 미치는 39의 취약점에 대한 패치를 발표했다. 가장 심각한 취약점은 특수하게 조작된 전송을 사용하는 원격 공격자가 임의 코드를 실행할수 있는 취약점으로 익스플로잇할 경우 RCE 버그를 통해 전체 장치에 액세스가 가능하다. 미디어 파일을 처리할 때 이메일, 웹 브라우징, 멀티미디어 서비스(MMS) 등 여러가지 방법을 통해 악용될수 있다고 한다. 발견된 취약점들 중 심각한 취약점은 아래와 같다.

CVE-2020-0103 : 장치 권한에 따라 원격코드 실행 가능한 취약점

CVE-2020-0096 : 안드로이드 프레임워크 구성요소에서 특권 프로세스 임의 코드 실행 가능한 취약점

CVE-2020-3641: 퀄컴의 폐쇄 소스 구성 요소에서 발견된 취약점

구글은 Android의 Media 프레임워크에서 4개의 높은 심각도 취약점, Qualcomm 구성 요소에서 8개의 높은 심각도 취약성, Media에서 4개, Tek 구성 요소, Android Kernel 구성 요소에서 두 가지 높은 심각도 취약성에 대한 보안 업데이트 패치를 발표했고 보안업데이트를 권고했다.