openLab

0xNews - MS 애저에 도커 컨테이너 버그로 인해 문제 발생 경고 Intezer Lab 연구팀에서 일부 내용 공개 https://www.intezer.com/blog/research/how-we-hacked-azure-functions-and-escaped-docker/ 이번 버그는 공격자가 권한 상승 후 호스팅하는데 사용되는 도커 Docker 컨테이너를 탈출하는데 사용  마이크로소프트 애저 Azure 파운데이션 Founction 의 패치되지 않은 취약점으로 인해 발생 컨테이너 호스트에서 도달할 수 있는 높은 위치에 대해 호스트 자체가 여전히 다른 방어 경계에 의해 보호되기 때문에 취약점이 애저 파운데이션 사용자에게 보안 영향을 미치지 않는다고 분석 MS 애저 파운데이션은 아마존 람다 AWS Lambda 와 유사 사용자가 인프라를 명시적으로 프로비저닝 혹은 관리할 필요 없는 이벤트 트리거 코드를 실행할 수 있는 동시에 수요에 따라 컴퓨팅과 리소스를 확장 혹은 할당할 수 있도록 하는 서버리스 솔루션 데모 동영상 도커를 혼합하여 통합하면 개발자가 클라우드 혹은 온 프레미스에서 애저 파운데이션을 쉽게 배포하고 실행 가능 트리거 코드는 애저 함수를 호출하도록 구성된 이벤트(ex: HTTP request) 먼저 HTTP 트리거를 만들어 함수 컨테이너에 대해 접근 확보 후 root 권한으로 사용하는 있는 프로세스에 속하는 소켓을 검색 Mesh 바이너리와 관련된 권한 있는 프로세스 중 하나가 앞서 언급된 파운데이션 root 권한을 실행하는 앱 사용자에게 악용될 수 있는 취약점이 포함되는 것을 확인 Mesh 바이너리 자체에는 그 목적을 설명한 문서가 거의 존재하지 않음 하지만 이번 문제점 분석을 통해 연구팀에서는 리버스 엔지니어링하고 권한 상승을 달성하는데 사용되는 공개 도커 이미지에서 이에 대한 참조점을 확인 현재 공개 도커 이미지는 삭제  https://hub.docker.com/layers/balag0/km/2/images/sha256-69b1fa875e4e672

0xNews - 외부 공격자가 내부 네트워크의 기기를 대상으로 공격 경고 IoT 보안회사 Armis 에서 NAT Slipstreaming 2.0 공격 발표 https://www.armis.com/resources/iot-security-blog/nat-slipstreaming-v2-0-new-attack-variant-can-expose-all-internal-network-devices-to-the-internet/ CVE-2020-16043 CVE-2021-23961 등의 취약점을 통해 이전에 공개된 기술을 토대로 라우터와 방화벽을 우회 인터넷망을 통해 내부 네트워크 내 위치한 관리되지 않은 기기에 도달할 수 있음을 확인 2020년 10월경 처음 발표된 NAT Slipstreaming 공격 소개 사이트 링크 https://samy.pl/slipstream/ 처음 발표될 당시 JavaScript 기반 공격으로 사용자가 악성 웹 사이트를 방문하여 브라우저 기반 포트 제한 우회 이후 공격자가 대상의 기기에서 TCP/UDP 서비스에 원격으로 접속할 수 있도록 유도하는데 의존 이는 방화벽이나 NAT 등의 네트워크 보호가 되는 것 역시 포함 구글 크롬 Chrome 87 모질라 파이어폭스 FireFox 84 애플 사파리 Safari  등에서는 포트 5060 혹은 5061 의 연결을 방지하여 위 브라우저의 공격을 차단하기 위해 업데이트 실시 구글 크롬의 해당 공격 정보 관련 링크 https://www.chromestatus.com/feature/5064283639513088 모질라 파이어폭스의 해당 공격 정보 관련 링크 https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/#CVE-2020-26978 애플 사파리의 해당 정보 공격 정보 관련 링크 https://bugs.webkit.org/show_bug.cgi?id=218557 하지만 이번 공격의 분석을 통해 NAT Slipstreaming 2.0 이라 명명 내부

0xNews - iOS 제로데이 보안 취약점 3개 경고 애플 Apple 은 iOS, iPadOS, tvOS 업데이트 발표 https://support.apple.com/en-us/HT212146 CVE-2021-1782 CVE-2021-1870 CVE-2021-1871  등 현재 업데이트 패치 전까지 악용된 취약점 3개 패치 함께 제공 CVE-2021-1782 커널 권한 상승 버그 악성 애플리케이션이 권한 상승을 일으킬 수 있는 조건이 있음을 확인 CVE-2021-1870 CVE-2021-1871 이상 2개의 취약점은 논리적 문제 logic issue 의 두 가지 단점이 WebKit 브라우저에서 발견 공격자가 사파리 Safari 내에서 임의의 코드 실행 가능 이번 취약점을 악용한 공격은 단순히 손상된 웹 사이트를 방문하여 악성코드를 전달 취약점을 이용하여 권한 상승과 임의 명령 실행하여 기기를 제어하는 공격 시나리오 가능 이번 애플 업데이트는 iPhone 6s 이상 iPad Air 2 이상 iPad mini 4 이상 iPod touch 7세대 Apple TV 4k Apple TV HD 등에서 진행 가능 이번 취약점은 중동의 알 자지라 방송인 등을 대상으로 한 사이버 공격 캠페인을 추적하여 발견한 제로데이 취약점 해결 이후 추가로 발표 애플의 iMessage 제로클릭 익스플로잇 공격에 대한 발표 정보 링크 https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

0xNews - 북한 해커의 미공개 연구를 훔치기 위한 공격 발견 구글의 위협 분석 그룹 TAG Threat Analysis Group 발표 https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/ 정부 지원을 받는 북한의 위협 행위자가 취약점 연구와 개발을 연구하는 보안 연구원을 대상으로 하는 공격 캠패인 정보 공개 취약점 발표 전 연구단계의 정보를 분석하는 연구원의 개발 중인 익스플로잇 Exploit 을 훔친 후 연구 대상의 타겟에 대한 추가 공격의 사전 준비 구글 연구팀에서는 그들의 블로그에서 다른 보안 연구원들과 추가적인 신뢰도를 구축하기 위해 의도하지 않지만 합법적인 보안 연구원의 글들이 게스트 게시물을 포함하여 공개 중 이전에 트위터 Twitter 를 사용하여 최근에 패치된 Windows Defender 취약점 CVE-2021-1647 에 대한 악용이라고 주장하는 유튜브 동영상 공유 결과적으로 해당 악용 동영상은 허위로 판명 MS 보안 업데이트의 CVE-2021-1647 정보 링크 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647 또한 북한 해커들은 보안 연구원에게 개별적으로 연락 취약점 연구에 협력하고 싶은지 문의 후 개인에게 Visual Studio 프로젝트를 제공 보안 연구원을 공격하기 위해 새로운 사회공학 방법 novel social engineering method 사용 이런 개별적인 사회공학 방법을 통한 취약점을 악용하기 위해 소스 코드가 포함되어 있을 뿐만 아니라 손상된 시스템에서 임의의 명령을 실행하기 위해 원격 명령 및 제어 서버 C2 Server command-and-control Server 와 통신을 설정하는 사용자 지정 맬웨어가 포함 또한 연구 정보 공개 블로그를 방문한 후 연구원이 감염된 여러 사례를 관찰 후 악성 서비스가 컴퓨터에 설치되고 인 메

0xNews - DNSMasq DNS 전달자에 영향을 미치는 심각한 취약점 발견 이스라엘 보안회사 JSOF 발표 https://www.jsof-tech.com/disclosures/dnspooq/ DNSpooq 고 총칭하는 7가지 취약점 이전에 공개된 DNS 아키텍처의 약점을 반영하여 DNSMasq 서버에 다양한 공격에 대해 무력하게 만듬 연구팀은 DNSMasq 가 외부 경로 공격자, 즉 DNS 전달자와 DNS 서버간 통신을 관찰하지 않은 공격자의 DNS 캐시 포이즈닝 공격에 취약하다는 것을 발견 CVE-2020-25681 CVSS 8.1 CVE-2020-25682 CVSS 8.1 CVE-2020-25683 CVSS 5.9 CVE-2020-25687 CVSS 5.9 CVE-2020-25684 CVSS 4 CVE-2020-25685 CVSS 4 CVE-2020-25686 CVSS 4 등 총 7가지 취약점 확인 연구팀은 이번 공격에 대한 분석 결과 한번에 여러 도메인의 이름에 대한 포이즈닝 공격이 허용되며 발견된 여러 취약점의 결과 공격은 몇초나 몇분 내 성공적으로 완료 이에 대한 특별한 요구 사항이나 준비 사항 없음 또한 DNSMasq 의 많은 인스턴스가 잘못 구성되어 있음을 발견 인터넷에서 직접 공격이 가능하도록 WAN 인터페이스에서 수신 대기 DNSMasq 는 DNS masquerade 의 약자 DNS 레코드를 로컬로 캐싱하는데 사용되는 DNS 전달 기능을 갖춘 경량 소프트웨어 결과적으로 업스트림 네임 서버의 부하를 줄이고 성능 향상에 도움을 줌 연구팀이 분석을 수행한 2020년 9월 기준 약 1백만개의 취약한 DNSMasq 인스턴스 발견 안드로이드 스마트폰에 포함된 소프트웨어, Cisco, Aruba, Technicolor, Redhat, Siemens, Ubiquiti, Comcast 등 수백만개의 라우터나 기타 네트워크 기기에 포함되어 있음 DNS Cache Poisoning Flow DNS 캐시 포이즈닝은 2008년 최초 발견 공격자가 대부분 네임 서

0xNews - FreakOut 라는 이름의 리눅스 취약점을 악용하는 지속적인 봇넷 공격 경고 CheckPoint Research 연구팀 발표 https://blog.checkpoint.com/2021/01/19/linux-users-should-patch-now-to-block-new-freakout-malware-which-exploits-new-vulnerabilities/ TerraMaster, Laminas Project, Liferay Portal 에서 새로 패치된 취약점을 활용하는 FreakOut 이라는 새로운 악성 코드 변종 발견 DDoS 공격을 시작하고 모네로 Monero 암호 화폐 채굴하기 위해 시스템의 IRC 봇넷에 통합하기 위해 리눅스 Linux 기기의 최근 공개된 취약점을 악용하는 맬웨어 캠페인 CVE-2020-28188 CVE-2021-3007 CVE-2020-7961 등 취약점 악용하여 공격 수행 서버에 악성 코드 실행하기 위해 무기화된 상태 피해자 기기에 더 이상 사용되지 않은 파이썬 버전이 설치되어 있을 경우 시스템 관계없이 악용된 취약점의 공격자의 최종 목표는 파이썬 파일 다운로드 후 out.py 파이썬 스크립트 실행하기 위해 설치 연구팀은 hxxp://gxbrowser[.]net 사이트에서 다운로드한 악성 코드는 다형성 코드를 포함하는 난독화된 파이썬 스크립트 이 스크립트를 다운로드 할 때마다 난독화 변경 F5 Labs 에서는 N3Cr0m0rPh IRC 봇과 Monero 암호 화폐 채굴을 전파하기 위해 TerraMaster 와 Liferay CMS 의 NAS 기기를 대상으로 하는 일련의 공격에 대해 경고 https://twitter.com/F5Labs/status/1348683108695072768 IRC 봇넷은 악성 명령을 실행하기 위해 IRC 채널을 통해 원격으로 제어할 수 있는 멀웨어에 감염된 시스템 모음 FreakOut 의 경우 손상된 기기는 실행할 명령 메시지를 수신하는 하드 코딩된 명령과 제어 서버 Command &