openLab

0xNews - 포티넷 Fortinet VPN 기본 설정 사용으로 인해 이를 사용하는 20만 이상 기업의 사용 주의 경고 네트워크 보안 플랫폼 제공업체 SAM Seamless Network 발표 https://securingsam.com/breaching-the-fort/ 직원이 원격으로 연결할 수 있도록 Fortigate VPN 솔루션을 사용하는 20만 이상의 기업 대상 공격자가 유효한 메시지를 보낼 수 있는 MitM Man-in-the-Middle 공격에 취약 SSL 인증서와 부정하게 연결을 공격자가 인수받을 수 있음 기본 구성에서 SSL VPN 이 보호되어야할 만큼 보호되지 않고 MitM 공격에 매우 취약한 것을 확인 Fortigate SSL-VPN 클라이언트는 CA 가 Fortigate 혹은 다른 신뢰할 수 있는 CA 에 의해 발급되었는지만 확인 공격자는 플래그를 울리지 않고 다른 Fortigate 라우터에 발급된 인증서를 제시하여 MitM 공격 수행 이를 테스트하기 위해 발표한 연구팀은 Fortinet VPN 클라이언트가 연결을 시작한 직후 MitM 공격을 트리거 하는데 사용되는 손상된 IoT 기기를 설정 웹 사이트나 도메인의 신뢰성을 보증하는데 도움이 되는 SSL 인증서 유효성 검사는 일반적으로 유효기간, 디지털 서명, 신뢰할 수 있는 인증기관에서 발급한 경우 인증서는 클라이언트가 연결 중인 서버와 일치 분석 결과 이번 문제는 기업이 자체 서명한 기본 SSL 인증서를 self-signed SSL certificates 사용하는데 있음 모든 Fortigate 라우터에는 Fortinet 에서 서명한 기본 SSL 인증서가 제공 해당 인증서가 유효하고 Fortinet 혹은 다른 신뢰할 수 있는 CA 에서 발급한 경우 제 3자에 의해 스푸핑될 수 있음 이에 공격자가 다시 사용함으로써 공격 수행 가능 주된 이유는 번들로 제공되는 기본 SSL 인증서가 인증서의 서버 이름으로 라우터의 일련번호를 사용하기 때문 Fortinet 은 라우터의 일련 번호를 사용하여 서버

0xNews - 주요 인스타그램 Instagram 앱 버그로 인해 스마트폰 원격 접속 가능 Check Point 보안연구팀 발표 https://blog.checkpoint.com/2020/09/24/instahack-how-researchers-were-able-to-take-over-the-instagram-app-using-a-malicious-image/ 인스타그램 Instagram 의 안드로이드 Android 앱의 취약점으로 인해 원격 공격자가 대상의 스마트폰에 특수 제작된 이미지를 전송하여 대상 기기 제어 가능 또한 이 취약점으로 인해 공격자는 인스타그램 앱 내에서 사용자 몰래 대상 피해자의 개인 메시지를 감시 가능 피해 대상자의 계정에서 사진 삭제나 업로드 등의 작업 수행 가능 대상 기기에서 임의의 코드 실행 RCE Remote Code Execution 실행 가능 등 확인 페이스북 Facebook 에서 게시한 권고에 따르면 힙 오버플로 heap overflow 취약점은 2월 10일에 발표된 Facebook SDK 128.0.0.26.128 이전의 모든 버전의 인스타그램 앱에 영향을 미침 페이스북 보안 업데이트 링크 https://www.facebook.com/security/advisories/cve-2020-1895 CVE-2020-1895 지정 CVSS 3.x 7.8 High https://nvd.nist.gov/vuln/detail/CVE-2020-1895 이번 취약점을 발표한 연구팀에서는 기기를 대상 사용자가 알지 못하는 사이에 사용자를 감시하는 도구로도 변경 가능 또한 사용자 몰래 인스타그램 프로필 등을 악의적으로 조작 가능함을 지적 이런 모든 공격은 사용자 개인 정보를 대량으로 침해하고 인스타그램을 사용하는 사용자 평판에도 영향을 미치거나 훨씬 더 심각한 보안 위험을 초래할 수 있음 페이스북은 해당 취약점을 지난 올해 4월 8일 패치 업데이트를 통해 문제 해결 인스타그램 사용자 대부분이 앱을 업데이트를 수행하여 취약점으로 인한 위험 완화

0xNews - 윈도우 서버에서 도메인 컨트롤러 DC 를 손상시키는 취약점 발견 Secura 연구팀 발표 https://www.secura.com/blog/zero-logon 인증되지 않은 공격자가 도메인 컨트롤러 DC Domain Controller 손상시킬 수 있는 취약점 발견 Zerologon 이라고 명명 CVE-2020-1472 지정 이번 취약점은 권한 상승 취약점 Netlogon 세션에 대한 AES-CFBB 암호화를 안전하지 않게 사용함으로써 존재 원격 공격자가 대상 도메인 컨트롤러에 대한 연결을 MS-NRPC Netlogon Remote Protocol 을 통해 설정 이번 공격은 도메인에 가입된 컴퓨터의 신뢰성과 신원을 도메인 컨트롤러에서 확인하는 인증 프로토콜의 취약점을 활용 AES 작동 모드를 잘못 사용하기 때문에 모든 컴퓨터 계정의 신원에 대해 스푸핑 spoof 가능 이는 DC 자체의 암호도 포함 도메인의 해당 계정에 대해 빈 암호를 설정 해당 취약점에 대한 Cynet 연구팀의 추가 설명 https://www.cynet.com/zerologon 이번 취약점은 MS 에서 8월 정기 보안 패치를 통해 처음 존재 공개 하지만 인도, 호주 정부 기관을 포함한 미국 CISA Cybersecurity and Infrastructure Security Agency 에서는 비상 지침 발표와 대응 미국 사이버보안국의 이번 취약점에 대한 비상 지침 발표 링크 https://cyber.dhs.gov/ed/20-04/ 다양한 필드가 0 으로 채워진 여러 Netlogon 메시지를 전송 인증되지 않은 공격자가 AD 에 저장된 도메인 컨트롤러의 컴퓨터 암호를 변경 가능 최초 발견한 Secura 에서는 이번 취약점은 다음 가상 시나리오를 통해 악용될 수 있다고 경고 1. 클라이언트 자격 증명 스푸핑   Spoofing the client credential 2. RPC 서명과 봉인 비활성화   Disabling RPC Signing and Sealing 3. 전화 스푸핑 

0xNews - WiFi 네트워크를 통해 안드로이드용 파이어폭스 Firefox 하이재킹 Hijack공격 버그 발견 ESET 보안연구팀 루카스 스테펜 공개 https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020 이 취약점은 호주 보안 연구원에 의해 처음 발견 파이어폭스 Firefox 브라우저의 SSDP 엔진에 취약점 존재 공격자가 안드로이드 Android 파이어폭스 앱이 설치된 상태에서 공격자와 동일한 WiFi 네트워크에 연결된 안드로이드 스마트폰을 대상으로 악용 가능 SSDP Simple Service Discovery Protocol 는 네트워크에서 다른 기기를 찾기 위한 UPnP 의 일부인 UDP 기반 프로토콜 안드로이드에서 파이어폭스는 동일한 네트워크에 연결된 다른 기기에 주기적으로 SSDP 검색 메시지를 전송하여 전송할 두번째 기기를 찾음 로컬 네트워크의 모든 기기는 이러한 브로드 캐스트 Broadcasts 에 응답하고 UPnP 기기에 대한 자세한 정보를 얻을 수 있는 위치를 제공 이 후 파이어폭스는 해당 위치에 접속하려고 시도하며 UPnP 사용을 준수하는 XML 파일을 찾음 데모 동영상 A 파이어폭스에 제출된 취약점 분석 보고서에 따르면, 대상의 파이어폭스 브라우저의 SSDP 엔진은 단순히 응답 패킷의 XML 파일 위치를 안드로이드가 가리키는 특수 제작된 메시지로 대체하여 의도된 URI 를 보도록 속일 수 있음 이를 위해 대상 WiFi 네트워크에 연결된 공격자는 자신의 기기에서 악성 SSDP 서버를 실행 대상의 개입없이 파이어폭스를 통해 근처 안드로이드 기기에서 의도 기반 intent-based 명령을 트리거 가능 의도적인 행동에서 허용하는 활동에는 브라우저를 자동으로 실행하고 정의된 URL 을 여는 것도 포함 취약점을 공개한 연구원은 대상을 속여 자격 증명을 제공하고 악성 앱을

0xNews - VoIP 스위치에서 통화 정보를 훔치는 리눅스 맬웨어 Malware 발견 ESET 발표 https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/ 이번에 발견된 리눅스 맬웨어 Malware 는 CDRThief 명명 VoIP 소프트 스위치를 대상으로 하는 전화 통화 메타 데이터를 훔침 통화 정보 기록 CDR Call Detail Records 을 포함 손상된 소프트 스위치에서 다양한 개인 정보 추출 가능 이 메타 데이터를 훔치기 위해 맬웨어는 소프트 스위치에서 사용하는 내부 MySQL DB 에 쿼리 수행 결과적으로 이번 맬웨어 개발자는 대상 플랫폼의 내부 아키텍처를 잘 이해하고 있음을 반증 소프트웨어 스위치인 소프트 스위치는 일반적으로 통신 네트워크에서 음성, 팩스, 데이터, 비디오 트래픽 관리, 통화 라우팅을 제공할 수 있는 VoIP 서버 CDRThief 가 특정 리눅스 VoIP 플랫폼, 즉 중국의 Linknat 의 VOS2009 나 3000 소프트 스위치를 대상으로 함 정적 분석을 피하기 위해 악성 기능에 대해 암호화 맬웨어는 MySQL DB 자격 증명에 접속할 목적으로 미리 결정된 디렉토리 목록에서 소프트 스위치 구성 파일을 찾으려고 시도하는 것으로 시작 이후 다른 DB 에 쿼리하는 작업 수행 이번 맬웨어를 발견하고 분석한 연구팀은 맬웨어 개발자가 암호화 프로세스를 분석하고 DB 암호 해독하는데 사용되는 AES 키를 검색하기 위해 플랫폼 바이너리를 리버스 엔지니어링을 수행했을 것이라 파악 맬웨어 개발자의 VoIP 아키텍처에 대한 지식 수준이 높음을 것이라 판단 손상된 Linknat 시스템에 대한 기본 정보를 수집하는 것 외 CDRThief 는 DB 의 세부 정보 추출 MySQL DB 에 직접 SQL 쿼리 실행하여 시스템 이벤트, VoIP 게이트웨이나 호출 메타 데이터와 관련된 정보를 추출 e_syslog, e_gatewaymapping, e_cd

0xNews - 패치되지 않은 블루투스 Bluetooth 기기에 대한 취약점 발견 Bluetooth 표준 개발을 감독하는 조직인 Bluetooth SIG 발표 https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/ 전세계 블루투스 기기에 잠재적으로 영향을 미칠 수 있는 패치되지 않은 새로운 취약점 발견 두 개의 별도의 학술 연구팀이 독립적으로 발견 BR/EDR Basic Rate/Enhanced Data Rate 및 BLE Bluetooth Low Energy 표준을 모두 지원하는 기기의 CTKD Cross-Transport Key Denvation 에 취약점 존재 CTKD 는 듀얼 모드 기기라고도 하는 두 개의 블루투스 기기를 함께 페어링할 떄 인증키를 협상하는 블루투스 구성 요소 CVE-2020-15802 지정 BLUERtooth 명명 Bluetooth 4.0 또는 5.0 기술로 구동되는 기기를 노출하여 공격자가 인증된 키를 덮어쓰거나 암호화 키 강도를 줄여 주변 대상 기기에 무단으로 연결할 수 있도록 함 LTK Long Term Key 혹은 LK Link Key 를 생성하기 위해 CTKD 를 사용하는 이중 모드 기기는 해당 전송이 더 높은 수준의 보안을 시행하는 경우 원래 LTK 나 LK 를 덮어쓸 수 있음 취약한 기기는 공격에 취약하기 위해 적어도 하나의 BR/EDR 혹은 LE 전송에서 인증 또는 약한 키 강도도 없이 투명하게 진행되도록 페어링 혹은 결합을 허용 즉, 이번 취약점은 전송이 더 높은 수준의 보안을 적용할 때 기기가 인증키를 덮어쓸 수 있도록 하는 페어링 프로세스의 특정 구현에서 기능을 활용 카네기 멜론 CERT 센터 발표한 권고에 따르면 이 취약점은 중간자 공격을 포함하여 BLUR attack 으로 그룹화된 여러 잠재적인 공격으로 이어질 수 있음 https://www.kb.cert.org/vuls/id/589825/ 다

0xNews - Cisco 재버 Jabber 취약점 경고 노르웨어 보안회사 Watchcom 발표 https://watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities/ Cisco 재버 버그를 악용하면 인증된 원격 공격자가 임의의 코드를 실행할 수 있는 취약점 존재 확인 연구팀은 이번 취약점을 침투 테스트 중 발견 현재 사용 중인 모든 재버 jabber 클라이언트 v.12.1~12.9 에 영향을 받음 발견된 취약점은 총 4개 이 중 2개는 그룹 대화나 특정 개인에게 특수하게 조작된 채팅 메시지를 전송 대상 시스템에서 원격 코드 실행 RCE Remote Code Execution 실행 가능 그 중 가장 심각한 것은 악의적으로 제작된 XMPP eXtensible Messaging and Presence Protocol 메시지를 전송 영향을 받는 소프트웨어에 공격자가 활용할 수 있는 메시지 내용의 부적절한 유효성 검사로 인해 발생되는 취약점 CVE-2020-3495 지정 CVSS 3.x 9.9 Critical  https://nvd.nist.gov/vuln/detail/CVE-2020-3495 공격의 성공은 공격자가 가능한 임의의 코드 실행의 결과 Cisco 재버 클라이언트 소프트웨어를 실행할 수 있는 사용자 계정의 권한으로 대상 시스템에서 임의의 프로그램을 실행할 수 있는 응용 프로그램을 강제 실행 데모 동영상 XMPP 는 두개 이상의 네트워크 엔티티간의 인스턴트 메시징을 용이하게 하는데 사용되는 XML 기반 통신 프로토콜 또한 추가기능을 수용할 수 있도록 확장 가능하도록 설계 그 중 하나는 XEP-0071 : XHTML-IM  XMPP 프로토콜을 사용하여 HTML 컨텐츠를 교환하기 위한 규칙을 정하는 사양 Cisco 재버의 취약점은 XHTML-IM 메시지를 구문분석할 때 XSS 취약점으로 인해 발생 이 애플리케이션은 들어오는 HTML 메시지를 적절하게 삭제하지 않고 대신 취약점이 있는 XSS 필

0xNews - Cisco IOS XR 0day 취약점 경고 Cisco 라우터 소프트웨어에서 제로데이 0day 취약점 발견 Cisco 보안 업데이트 링크 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz 인증된 원격 공격자가 영향을 받는 기기에 대해 메모리 고갈 공격 수행 가능 공격자는 IGMP 트래픽을 영향을 받는 기기에 전송하여 취약점 악용 가능 익스플로잇은 공격자가 메모리 소모를 유발하여 다른 프로세스를 불안정하게 만듬 CVE-2020-3566 지정 현재 Cisco 에서는 해당 취약점 대응 업데이트를 할 것이라 했지만 날짜를 특정하지 않음 해당 취약점은 8월 28일 존재 확인 CVSS 3.x 8.6 high  IOS Internetwork Operating System XR 소프트웨어를 실행하는 모든 Cisco 기기에 영향을 미침 공격자가 특수 제작된 인터넷 그룹 관리 프로토콜 IGMP Internet Group Management Protocol 을 전송할 수 있도록 하는 DVMRP Distance Vector Multicast Routing Protocol 기능의 문제로 인해 발생 IGMP 패킷을 문제의 취약점 기기로 전송하고 프로세스 메모리 소모 IGMP 는 일반적으로 온라인 비디오 스트리밍이나 게임과 같은 스트리밍 컨텐츠를 지원할 때 멀티 캐스팅 응용 프로그램에 리소스를 효율적으로 사용하는데 사용 취약점은 IOS XR 소프트웨어가 이러한 패킷을 큐 Queues 에 넣은 방식에 있음 잠재적으로 메모리 고갈과 다른 프로세스의 중단 유발 현재까지 문제 해결 방법은 없음 Cisco 에서는 관리자가 show igmp interface 명령 실행 멀티 캐스트 라우팅 활성화되어 있는지 확인할 것을 권장 show igmp interface 출력이 비어 있으면 멀티 캐스트 라우팅이 활성화되지 않고 기기가 이러한 취약점의 영향