4월, 2021의 게시물 표시

0xNews - IoT 와 OT 기기에 광범위하게 영향을 미치는 취약점 발견

이미지
0xNews - IoT 와 OT 기기에 광범위하게 영향을 미치는 취약점 발견 마이크로소프트 Azure Defender for IoT security research group 발표 https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/ 산업, 의료, 엔터프라이즈 네트워크에서 사용되는 광범위한 사물인터넷 IoT 과 운영기술 OT Operational Technology 기기에 영향을 미치는 24개 취약점 공개 공격자가 임의 코드를 실행이 가능하고 중요 시스템간 충돌을 발생하여 사용을 못하게 강제할 수 있음 BadAlloc 로 명명 이번에 발견된 취약점들은 표준 메모리 할당 함수에 기반을 두고 있음 다음 리스트가 현재 가장 크게 영향을 받는 것으로 확인 실시간 운영체제 RTOS Real-Time Operating Systems 임베디드 소프트웨어 개발 키드 embedded SDKs software development kits 표준 C 라이브러리 libc C standard library 메모리 할당 기능과 관련된 적절한 입력 유효성 검사가 부족하면 공격자는 힙 오버플로 heap overflow 수행 취약한 기기에서 악성 코드가 실행될 수 있음 미국 사이버보안 및 인프라 보안국 CISA Cybersecurity and Infrastructure Security Agency 에서도 취약점을 성공적으로 악용하면 시스템 충돌, 원격 코드 삽입과 실행과 같은 예기치 않은 동작이 발생될 수 있음을 경고 MS 와 CISA 는 취약점의 영향으로 위험을 받을 수 있는 기기와 범위에 대한 세부 사항은 공개하지 않기로 함 이번 취약점과 관련 미국 CISA 에서의 관련 보고 사이트 링크 https://us-cert.cisa

0xNews - PHP Composer 버그로 인해 공급망 공격 supply-chain 가능 경고

이미지
0xNews - PHP Composer 버그로 인해 공급망 공격 supply-chain 가능 경고 SonarSource 연구팀 발표 https://blog.sonarsource.com/php-supply-chain-attack-on-composer PHP 용 패키지 관리자인 Composer 의 관리자의 버그로 인해 임의 명령 실행 가능 모든 PHP 패키지를 백도어화하여 공급망 공격 supply-chain attack 유발할 수 있는 취약점으로 확인 CVE-2021-29472 지정 2021년 4월 22일 SonarSource 연구팀 발견 후 보고 12시간 전후로 보안 패치의 핫픽스 배포 Composer v.1.10.22 / v.2.0.13 등에 대한 핫픽스 발표와 함께 관련 내용 추가 발표 HgDriver / HgDownloader 의 수정된 명령 주입 취약점 Command Injection 과 다른 VCS 드라이버 및 다운로더 강화에서 발생 현재까지 해당 취약점으로 인한 피해 보고는 없음 Composer 의 명령 주입 취약점 참조 사이트 링크 https://blog.packagist.com/composer-command-injection-vulnerability/ Composer 는 PHP 종속성 관리 도구 프로젝트와 관련된 패키지를 쉽게 설치할 수 있도록 지원 사용자는 Composer 로 설치할 수 있는 모든 공용 PHP 패키지를 집계하는 저장소인 Packagist 에서 사용할 수 있는 PHP 애플리케이션을 설치할 수 있음 이 취약점은 패키지 소스 다운로드 URL 이 처리되는 방식에서 존재 잠재적으로 공격자가 원격 명령 주입을 트리거할 수 있는 시나리오로 연계 이를 증명하기 위해 연구팀은 인수 주입 결함 argument injection flaw 을 악용하여 공격자가 선택한 쉘 명령을 실행하기 위해 리눅스 alias 옵션을 이용하는 악성 저장소 URL 생성 인수 주입 결함에 대한 CVE 에서 참조 링크 CWE-141: Improper Neutralizatio

0xNews - 3년간 탐지되지 않은 리눅스 악성코드 발견

이미지
0xNews - 3년간 탐지되지 않은 리눅스 악성코드 발견 Qihoo 360 NETLAB 발표 https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/ 백도어 기능이 있는 리눅스 악성코드가 3년 동안 탐지를 회피 이를 통해 공격자는 감염된 기기로부터 민감 정보를 수집 후 유출 가능 RotaJakiro 명명 이 백도어는 리눅스 x64 컴퓨터를 대상으로 활동 AES, XOR, ROTATE 등으로 암호화를 자주 변경 실행 시 루트/비 루트 계정에 대해 다르게 동작 분석 결과 해당 악성코드 샘플 초기버전은 2018년 VirusTotal 에서 업로드 된 것으로 확인 하지만 대부분 맬웨어 방지 엔진에서 감지 되지 않음 이번 악성코드는 기능적으로는 먼저 사용자가 다른 계정에 대해 다른 실행 정책을 사용 런타임에서 루트/비루트인지 우선 확인 이후 지속성, 프로세스 보호, 단일 인스턴스 사용을 위해 AES와 ROTATE 사용 관련된 민감 리소스 분석 마지막으로 C2 command-and-control 서버와 통신을 설정하고 C2 가 내리는 명령 실행을 대기 RotaJakiro 는 시스템 내 은폐하는 것을 염두해 두고 설계 암호화 알고리즘 조합을 사용하여 C2 서버와의 통신을 암호화 기기에 대한 메타 데이터 수집을 처리하는 12가지 기능을 지원 파일 관련 작업 수행과 C2서버에서 가져온 플러그인 다운로드와 실행 민감정보 탈취 수행 하지만 플러그인의 특성에 대한 증거가 없기 때문에 악성코드 공격 캠페인의 진정한 목적 등은 불명확 분석 중 C2 도메인 일부는 2015년 12월에 등록된것을 확인 RotaJakiro 와 Toni 라는 봇넷간의 중복 사용을 확인 Toni 봇넷의 Avast 분석 사이트 링크 https://blog.avast.com/new-torii-botnet-threat-research 연구팀은 리버스 엔지니어링을 통해서 RotaJakiro 와 Toni 에 대해 살펴볼 때 중요 리소스를 숨기기 위한 암호화 알고리즘 사용

0xNews - F5 Big-IP 에서 Kerberos KDC 스푸핑 취약점이 발견

이미지
0xNews - F5 Big-IP 에서 Kerberos KDC 스푸핑 취약점이 발견 Silverfort 발표 https://alltech.news/cyber-security-news/f5-big-ip-found-vulnerable-to-kerberos-kdc-spoofing-vulnerability-31148 F5 Big-IP 애플리케이션 제공 서비스에 영향을 미치는 Kerberos KDC 보안 기능의 새로운 우회 취약점 발견 KDC 스푸핑 취약점은 공격자가 Kerberos 인증을 Big-IP 접속 정책 관리자 APM Access Policy Manager 와 보안 정책을 우회 민감한 워크로드에 자유롭게 접속할 수 있게 함 어떤 경우에는 Big-IP 관리 콘솔에 대한 인증을 우회하는데도 사용 가능 Kerberos는 상호 인증을 위해 클라이언트-서버 모델에 의존하는 인증 프로토콜 KDC Key Distribution Center 라는 신뢰할 수 있는 중개자가 필요 이 경우 Kerberos 인증 서버 AS Authentication Server 또는 티켓 부여 서버 Ticket Granting Server 이는 모든 사용자의 공유 비밀 키 저장소 역할뿐만 아니라 어떤 사용자가 어떤 네트워크 서버에서 어떤 서비스에 대한 접속 권한을 가지고 있는지에 대한 정보를 의미 따라서 사용자가 서버의 특정 서비스에 접속하려 할 때 사용자는 자신의 신원을 확인하기 위해 사용자 이름과 암호를 제공하라는 메시지가 표시 이후 AS 서버는 사용자가 서버에 대한 접속 권한이 있는지 확인 따라서 사용자가 만료 시간까지 서비스를 사용할 수 있도록 티켓을 발행 또한 프로세스의 일부로써 KDC 를 서버에 인증하는 것이 중요 서버에 대한 KDC 인증이 없으면 Kerberos 보안이 손상 가능 공격자가 Big-IP 와 도메인 컨트롤러 간의 네트워크 통신을 가로챌 수 있음 KDC 인증 완전 회피 가능 도메인 컨트롤러 KDC 는 인증을 완전 회피 확인 Kerberos 프로토콜이 올바른 방식으로 구현되면

0xNews - macOS 컴퓨터에 제로데이 게이트키퍼 취약점을 악용하여 공격 경고 외 애플 보안 업데이트

이미지
0xNews - macOS 컴퓨터에 제로데이 게이트키퍼 취약점을 악용하여 공격 경고 외 애플 보안 업데이트 애플 보안 업데이트 https://support.apple.com/en-us/HT212325 CVE-2021-30657 지정 2021년 3월 보안 엔지니어 Cedric Owens 발견 후 애플에 보고 서명되지 않고 공증되지 않은 스크립트 기반 개념 증명 프로그램은 완전히 패치된 M1 macOS 시스템에서도 macOS 의 모든 관련 보안 메커니즘은 사소하고 안정적으로 회피할 수 있음 이런 능력으로 무장한 macOS 맬웨어 개발자는 macOS 사용자를 대상으로 감염시키는 익스플로잇 공격 가능 이번 취약점을 분석한 Patrick Wardle 의 사이트 링크 https://objective-see.com/blog/blog_0x64.html 애플의 macOS 에는 게이트키퍼 Gatekeeper 라 불리는 기능이 포함 소프트웨어가 애플 앱스토어 혹은 등록된 개발자가 서명하고 자동화된 프로세스를 지웠는지 확인하여 신뢰할 수 있는 앱만 실행할 수 있도록 하는 것을 응용 프로그램 공증 app notarization 이라 지칭 이를 통해 소프트웨어에서의 악성 컨텐츠 검사 수행 그러나 이번에 발견된 새로운 취약점은 공격자가 게이트키퍼 서비스를 속이고 보안 경고를 트리거하지 않고 실행되는 방식 악성 애플리케이션 제작 가능 가능성 확인 공격자는 악성 쉘 스크립트를 더블 클릭 가능한 앱 등으로 속여서 패키징 후 실행할 수 있게 유도 가능 제로데이 데모동영상 두번 클릭할 수 있다는 의미에서 macOS 는 마우스 오른쪽 버튼을 클릭 -> 페이로드에 대한 정보 가져오기를 앱으로 볼 수 있다는 것을 의미 이는 패키징된 앱의 격리 속성을 통해 게이트키퍼가 앱을 검사할 수 있는 것을 속임으로써 시스템을 우회할 수 있는 공격 지점으로 활용 가능 macOS 관련 보안회사인 Jamf 에 따르면 shlayer 악성코드의 공격자는 2021년 1월 9일 해당 취약점을 악용하여 공격한 것으로 파악

0xNews - Homebrew 패키지 관리자에서 심각한 버그 발견

0xNews - Homebrew 패키지 관리자에서 심각한 버그 발견 일본 보안 전문가 RyotaK 발표 https://blog.ryotak.me/post/homebrew-security-incident-en/ 공식 Homebrew Cask 저장소에서 최근 확인된 보안 취약점으로 인해 Homebrew 가 설치된 사용자 컴퓨터에서 임의 코드 실행을 통해 공격자가 악용할 수 있음을 확인 Github 저장소의 코드 변경이 처리 되는 방식에서 문제점 발견 결과적으로 악의적인 Pull Request 가 발생 자동적으로 검토되고 승인 처리 됨 해당 버그는 4월 18일 보고 후 4월 19일 수정 완료 Homebrew 에 대한 Github 정보 공개 내용 링크 https://github.com/Homebrew/homebrew-cask Homebrew 는 리눅스 외 애플의 macOS 운영체제에서 소프트웨어를 설치할 수 있는 무료 오픈 소스 소프트웨어 패키지 관리자 솔루션 Homebrew Cask 는 GUI 기반 macOS 응용 프로그램, 글꼴, 플러그인과 기타 비 오픈소스 소프트웨어에 대한 CUI 워크플로우를 포함하도록 기능을 확장 이번에 발견된 버그는 공격자가 임의 코드를 Cask 에 인젝션하여 자동으로 병합할 수 있도록 함 검사를 위해 pull request 의 diff 를 파싱하는데 사용되는 review-cask-pr GitHub Action 의 git_diff 종속성에 있는 결합으로 인해 발생 이 결함으로 인해 파서는 잘못된 행을 완전히 무시하도록 스푸핑될 수 있음 악의적인 pull 요청을 성공적으로 승인 즉 이 결함은 Cask 저장소에 인젝션된 악성 코드가 검토나 승인 없이 병합되었음을 의미 버그를 입증하는 PoC Pull Request 에 대한 내용을 github 에 추가 공개 https://github.com/Homebrew/homebrew-cask/pull/104191 분석 결과 Homebrew는 automerge GitHub Action을 제거하고 모든 취약한

0xNews - Pulse Secure VPN 을 악용하여 SuperNova 맬웨어 배포 APT 경고

이미지
0xNews - Pulse Secure VPN 을 악용하여 SuperNova 맬웨어 배포 APT 경고 미국 CISA Cybersecurity and Infrastructure Security Agency 발표 https://us-cert.cisa.gov/ncas/analysis-reports/ar21-112a Pulse Secure VPN 기기에 대한 연결을 통해 네트워크에 접속 후 SuperNova 맬웨어 배포에 활용 SolarWinds Orion 설비에 손상을 주는 새로운 APT Advanced Persistent Threat 공격 경고 Pulse Secure VPN appliance 를 통해 각기 독립된 네트워크에 연결된 위협 행위자는 SolarWinds Orion 서버로 사이드로 이동 SuperNova 맬웨어 .NET 웹쉘을 설치하고 자격 증명 수집 정보 분석 결과 사고 대응 중 특이 사항을 확인하여 위협 행위자를 식별 공격자는 2020년 3월부터 2021년 2월까지 VPN 자격 증명을 사용하여 거의 1년여 동안 기업 네트워크에 접속했음을 확인 이 중 흥미로운 점은 취약점을 악용하여 공격하는 대신 MFA Multi-Factor Authentication 가 활성화된 유효한 계정을 사용 VPN 에 연결하여 정상적인 재택 근무 인원으로 위장하여 활동하였음을 확인 2020년 12월 MS 에서는 IT 인프라 제공업체의 Orion 소프트웨어를 악용하여 대상 시스템에 SuperNova 백도어 확인 후 삭제했음을 발표 정보 분석 결과 해당 공격은 Spiral 이라는 해커 그룹으로 추가 조사 결과 중국 관련 조직임을 확인 Spiral 위협 조직에 대한 분석 사이트 링크 https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group SuperNova 는 SolarWinds Orion 응용 프로그램의 app_web_logoimagehandler.ashx.b603189

0xNews - 텔레그램을 통해 맬웨어 전파와 제어를 수행하는 공격 캠페인 발견

이미지
0xNews - 텔레그램을 통해 맬웨어 전파와 제어를 수행하는 공격 캠페인 발견 CheckPoint 발표 https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/ 텔레그램 Telegram 을 통해 명령과 제어 C2 Command-and-Control 시스템으로 악용 악성코드를 배포하여 다음 대상 시스템에서 민감 정보를 탈취하는데 사용 CheckPoint 는 지난 3개월 동안 130건 이상 공격 분석 텔레그램이 설치되지 않았거나 사용되지 않은 경우에도 공격자가 인스턴스 메시징 앱을 이용 악성 명령과 작업을 원격 전송 가능 ToxicEye 라고 명명 새로운 다기능 원격 접속 트로이 목마 RAT Remote Access Trojan 사용 2019년 9월 Masad Stealer 라는 공격자가 텔레그램을 통해 정보 유출 수행 텔레그램을 통한 Masad Stealer 의 공격 분석 https://blogs.juniper.net/en-us/threat-research/masad-stealer-exfiltrating-using-telegram 감염된 컴퓨터에서 정보 탈취와 암호화폐 지갑 정보 약탈 등을 수행 2020년 Magecart 해커 그룹은 해킹된 웹 사이트에서 도난 당한 결재 정보를 공격자에게 다시 보내는 동일한 기법 수행 공격자가 텔레그램을 통한 정보 유출 통로로 활용하는 것은 엔터프라이즈용 바이러스 백신 엔진에 의해 차단 하지만 텔레그램 가입 시 휴대폰 번호만 필요하기 때문에 공격자는 익명으로 유지된 상태에서 전세계 모든 위치에서 감염된 기기로 접속 가능 이번에 발견된 공격 캠페인도 이전과 크게 다르지 않음 악성 윈도우 실행 파일이 포함된 피싱 이메일을 통해 전파되는 ToxicEye 텔레그램을 사용하여 C2 명령과 제어 서버와 통신하고 데이터를 업로드 또한 악성 코드는 데이터를 탈취하고 파

0xNews - SonicWall Enterprise Email Security Appliances 제로데이 3건 해결

이미지
0xNews - SonicWall Enterprise Email Security Appliances 제로데이 3건 해결 SonicWall 발표 https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/ CVE-2021-20021 CVE-2021-20022 등 지정된 취약점은 인터넷 접속이 가능한 시스템에서 악용 후 웹쉘 활동을 감지 2021년 3월 26일 Fireeye 에서 취약점 발견 CVE-2021-20023 은 Windows Server 2021 설치되서 실행되는 SonicWall 의 이메일 보안 애플리케이션에 있는 고객 환경 설정내 존재 2021년 4월 6일 해당 정보 공개 Fireeye 는 UNC2682 라는 이름으로 활동하는 조직에 대해 추적 중 이번에 공개된 취약점은 SonicWall 이메일 보안 기기에서 관리 접속과 코드 실행을 얻기 위해 함께 실행 공격자는 SonicWall 애플리케이션에 대한 자세한 정보와 함께 이러한 취약점을 활용하여 백도어를 설치 파일과 이메일에 접속하고 피해자 조직의 네트워크의 측면으로 이동하여 공격 수행 CVE-2021-20021 CVSS 9.4 공격자가 조작된 HTTP request 를 원격 호스트에 전송하여 관리 계정 생성 가능 CVE-2021-20022 CVSS 6.7 사후 인증된 공격자가 원격 호스트에 임의 파일 업로드 가능 CVE-2021-20023 CVSS 6.7 사후 인증된 공격자가 원격 호스트에 임의 파일을 읽을 수 있도록 허용하는 디렉토리 탐색 취약점 관리 접속을 통해 공격자는 CVE-2021-20023 을 연이어 악용 구성 파일을 읽거나 기존 계정 정보에 대한 정보, Windows AD Active Directory 자격 증명 등을 포함하는 정보 취득 가능 CVE-2021-20022 악용을 통해 암호화된 C2 comm

0xNews - Pulse Secure 에서 패치되지 않은 제로데이 발견

이미지
0xNews - Pulse Secure 에서 패치되지 않은 제로데이 발견 Fireeye 발표 https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html CVE-2021-22893 지정 Pulse Secure VPN 기기의 중요한 취약점을 활용 다단계 인증 보호를 우회하고 엔터프라이즈 네트워크 침해 가능 이로 인해 미국이나 기타 지역의 국방, 정부 기관이나 금융 기관을 대상으로 침입 확인 Fireeye 는 Pulse Secure VPN 취약점과 관련된 12개 악성코드 확인 2021년 4월 발견 이전 취약점과 이전에 알려지지 않은 취약점인 CVE-2021-22893 조합으로 인해 초기 침투 경로의 원인으로 지목 두 개의 위협적인 조직 UNC2630 / UNC2717 하에서 활동을 추적 UNC2630 은 미국 국방 산업기지 DIB Defense Industrial Base 네트워크의 침입과 관련이 있음 UNC2717 은 유럽 조직을 대상으로 활동한 것으로 파악 보다 자세한 정보는 확인 중이지만 중국 정부에서 지원하는 해커 그룹인 APT5 와의 관계를 의심 중 UNC2630 에 의해 진행된 공격은 2020년 10월에 알려지기 전 2020년 8월부터 시작된 것으로 추정 UNC2717 은 유럽과 미국의 정부 기관 네트워크에 맞춤형 맬웨어를 설치하기 위해 동일한 취약점을 용도 변경하기 시작했을 때 2021년 3월까지 공격 지속 다음은 발표된 악성 코드군 리스트 UNC2630 SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, PULSECHECK UNC2717 HARDPULSE, QUIETPULSE, PULSEJUMP 침입 중 배포된 두 가지 추가 악성코드 변종인 STEADYPULSE, LOCKPICK 은 증거 부족으로 인해 특정 그룹과 연

0xNews - 인터넷 사용자를 대상으로 하는 120여개의 손상된 광고 서버 발견

이미지
0xNews - 인터넷 사용자를 대상으로 하는 120여개의 손상된 광고 서버 발견 Confiant 발표 https://blog.confiant.com/tag-barnakle-one-year-later-120-more-revive-adserver-hacks-f3e5b3bc8e70 Tag Barnakle 로 추적된 지속적인 악성 광고 캠페인 사용자를 악성 웹 사이트로 리다이렉션하는 악성 광고 제공 이를 위해 지난 1년 동안 120여개 이상 광고 서버를 공격 후 장악하여 피해자를 스캠 혹은 악성 코드에 노출 일반적으로 광고 목적을 위해 사용자 유입을 위한 다양한 문구와 광고를 사용하여 악성 광고를 실행하기 위해 합법적인 웹 사이트를 개설하여 광고 기술 생태계로 진입 Tag Barnakle 공격 수행자는 2020년 4월 최소 60여개 광고 서버를 손상 지난 1년 후 주로 Revive 라는 오픈 소스 광고 서버를 대상으로 공격 수행 공격자는 모바일 기기를 표적으로 삼기 위해 도구를 업그레이드한 것으로 보이지만 최신 공격도 다르지 않은 것으로 확인 Tag Barnakle 는 모바일 타게팅 캠페인을 추진하고 있지만 작년에는 데스크탑 트래픽의 유입도 받아들이는 것으로 분석 특히 해킹된 광고 서버를 통해 광고를 수신하는 웹 사이트는 클라이언트 측 핑거 프린팅을 수행 특정 검사가 충족되면 2단계 JavaScript 페이로드인 클릭 추적 광고를 전달 사용자를 악성 웹 사이트로 리다이렉션하여 방문자 유인 가짜 보안, 안전 혹은 VPN 앱을 통해 앱 스토어 목록에 추가 이는 숨겨진 구독 비용과 함께 제공되거나 기타 악의적인 목적으로 트래픽 탈취 Revive 가 많은 광고 플랫폼과 미디어 회사에서 사용되고 있다는 점을 감안할 때 Tag Barnakle 의 도달범위는 최소 수십만대의 기기가 그 대상으로 판단 낮은 빈도로 페이로드를 밝히기 위해 피해자를 쿠키로 삼아 존재 감지 속도를 늦출 수 있다는 사실을 고려한 최저한의 추정치

0xNews - 미국 NSA 가 러시아 정부 해커 그룹이 악용하는 상위 5개 취약점 공개

이미지
0xNews - 미국 NSA 가 러시아 정부 해커 그룹이 악용하는 상위 5개 취약점 공개 미국 NSA National Security Agency, CISA Cybersecurity and Infrastructure Security Agency, FBI Federal Bureau of Investigation 등 미국 정부 기관의 공동 자문에서 발표 https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabili/ 이번 정보 공개에서 미국 NSA 는 러시아 SVR Sluzhba Vneshney Razvedki 대외정보국이 공공 서비스에 대해 해당 취약점을 사용 미국 정부 네트워크와 기업을 대상으로 네트워크를 손상시켜 인증 자격 증명을 획득하고 있는 것을 확인 NSA 는 데이터 도난, 은행 사기, 랜섬웨어 등으로 이어지는 사이버 공격으로부터 보호하기 위해 취약한 기기를 즉시 보안 패치하도록 모든 조직에 권고 현재 릴리스의 취약점은 정부나 민간 부분의 네트워크 대상으로 하는 SVR 툴킷 중 일부 러시아 SVR 이나 그 외 위협 행위자의 추가 공격을 방지하기 위해 모든 관리자가 이러한 취약점에 대해 관련 완화 조치를 조속히 구현할 것을 강력 권고 CVE-2018-13379 CVSS 9.8 Critical Fortinet FortiOS 6.0~6.0.4, 5.6.3~5.6.7, 5.6.7~5.4.12 대상 Fortinet SSL Secure Sockets Layer VPN Virtual Private Network 웹 포털에서 제한된 디렉토리에 대한 경로 이름의 부적절한 제한 Path Traversal 으로 인해 인증되지 않은 공격자가 특수 제작된 HTTP 리소스 요청을 통해 시스템 파일을 다운로드 취약점이 내포된 기기가 광범위하게 사용되기에 취약점을

0xNews - 자바스크립트 익스플로잇으로 DDR4 공격 가능 확인

이미지
0xNews - 자바스크립트 익스플로잇으로 DDR4 공격 가능 확인 유럽 대학교 교수팀 새로운 논문 발표 https://www.vusec.net/projects/smash/ SMASH Synchronized MAny-Sided Hammering 라고 명명 RAM 제조업체에서 시행착오와 취약점 지적을 통해 완화 조치를 했음에도 최신 DDR4 RAM 에서 javascript 익스플로잇을 통해 공격 트리거 사용 가능 확인 DRAM 내 TRR Target Row Refresh 완화에도 불구 최신 DDR4 모듈 중 일부는 여전히 Rowhammer 비트플립에 취약함을 확인 SMASH 는 캐시 교체 정책에 대한 높은 수준의 지식을 활용 축출 기반 eviction-based 다측 many-sided Rowhammer 에 대한 최적의 접속 패턴 생성 In-DRAM TRR 완화를 우회하기 위해 SMASH 는 동기화된 다측 Rowhamer 비트를 성공적으로 트리거하기 위해 캐시 적중과 누락을 예약하여 정보 취득 메모리 요청을 DRAM 새로 고침 명령과 동기화함으로써 평균 15분만에 Firefox 브라우저를 완전히 손상시킬 수 있는 종단간 javascript 익스플로잇 exploit 개발 웹 사용자가 이러한 공격으로부터 계속 위험에 노출되어 있음을 증명 Rowhammer 는 DDR4 시스템의 하드웨어 설계 특성을 활용하여 일련의 공격을 포괄적으로 가르키는 용어 메모리 RAM 은 실리콘 칩에 매트릭스 형태로 배열된 메모리 셀로 내부에 데이터를 저장 그러나 커패시터의 자연 방전 속도가 주어지면 메모리 셀은 시간이 지남에 따라 상태를 잃는 경향을 가짐 커패시터의 전하를 원래 수준으로 복원하기 위해 각 셀을 주기적으로 읽고 쓰기를 반복해야 함 반면 DRAM 집적회로의 밀도가 증가하면 메모리 셀간의 전자기 상호 작용 속도가 증가하고 데이터 손실 가능성이 상승 2014년 메모리 행에 대해 빠른 읽기/쓰기 작업을 반복적으로 수행함으로써 근처 메모리 행에 저장된 데이터를 변경하는 전기적 장애를

0xNews - 패치되지 않은 크롬, 오페라, 브레이브 브라우저에서 익스플로잇 공개

이미지
0xNews - 패치되지 않은 크롬, 오페라, 브레이브 브라우저에서 익스플로잇 공개 인도 보안 연구원 발견 https://twitter.com/r4j0x00/status/1381643526010597380 구글 크롬, MS 엣지, 애플 오페라, 브레이브와 같은 크로니움 Chromium 기반 브라우저에 영향을 미치는 취약점과 이에 대한 PoC 코드 공개 공개된 익스플로잇은 웹 브라우저를 구동하는 V8 JavaScript 렌더링 엔진의 원격 코드 실행 취약점과 관계됨 PWN2OWN 2021 해킹대회에서 발표된 것과 동일한 취약점으로 판단 이번 취약점 발표를 통해 연구원은 USD 100,000 획득 트위터에 공유한 스크린샷에 따르면 PoC HTML 파일과 관련된 JavaScritp 파일을 크로니움 기반 브라우저에 로드하여 보안 취약점 악용하여 윈도우 계산기 앱을 실행 그러나 익스플로잇이 크롬의 샌드박스 보호를 벗어날 수 있는 또 다른 취약점과 연결되어야 한다는 것이 핵심 사항 관련된 취약점에 대한 핵심 정보는 공유 후 구글 크로니움팀이 오픈 소스 구성 요소에 푸시한 패치를 리버스 엔지니어링하여 PoC 구성할 수 있는 것으로 확인 구글은 V8 최신 버전에서 문제를 해결했지만 아직 안정적인 채널로 이동하지 않아 브라우저가 공격에 취약함 구글은 크롬 Chrome v.90 출시할 것으로 예상되지만 V8 취약점에 대한 패치가 포함될지는 확실하지 않음 이번 구글 크롬 PoC 코드의 Github 공개 https://github.com/r4j0x00/exploits/tree/master/chrome-0day

0xNews - 구글 플레이스토어에서 안드로이드 보안 스캐너 활동을 막는 악성 코드 발견

이미지
0xNews - 구글 플레이스토어에서 안드로이드 보안 스캐너 활동을 막는 악성 코드 발견 McAfee 발표 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/brata-keeps-sneaking-into-google-play-now-targeting-usa-and-spain/ 민감정보 수집 목적 백도어 배포를 위해 구글 플레이 스토어에서 앱 보안 스캐너 역할을 하는 악성 안드로이드 앱 발견 이런 악성 앱은 사용자에게 구글 크롬이나 WhatsApp, PDF리더를 업데이트 하도록 요구하도록 유도 악성 앱 업데이트하는 대신 접근성 서비스 남용을 통한 안드로이드 기기의 완전 제어 현재까지 해당 앱은 미국와 남미, 유럽 등의 사용자 대상 최소 5천건 설치 DefenseScreen 이라는 또 다른 앱은 구글 플레이스토어 삭제 전까지 1만건 설치 기록 2019년 8월 Kaspersky 에서 처음 문서화한 BRATA Brazilian Remote Access Tool Android  은행 뱅킹 트로이 목마로 꾸준히 변화를 통해 화면 녹화 기능을 갖춘 안드로이드 악성 코드로 활동 화면 녹화 기능을 통해 화면에서의 잠금 해체를 위한 PIN 이나 암호, 잠금 패턴이나 키로거 등의 활동 수행 은행 자격 증명 탈취를 위한 피싱 웹 페이지를 표시 설치 후 기기 제어 후 탈취 기능 포함 백도어를 배포하는 앱은 기기의 보안 문제를 의심하지 않는 사용자에게 경고 문제 해결을 위해 유명한 특정 앱 - 구글 크롬, WhatsApp, 존재하지 않은 PDF리더 앱 등 - 의 허위 업데이트를 통해 설치하라는 메시지를 표시 피해자가 앱 설치에 동의하면 BRATA 는 기기의 접근성 서비스에 대한 접속 권한을 요청 이를 악용하여 잠금 화면의 비밀번호나 패턴을 캡처하고 키 입력을 기록하며 스크린샷을 찍고 구글 플레이 스토어를 비활성화 플레이스토어 앱을 사용 중지하면 앱 스토어에서 앱을 다운로드하기 전 사전에 앱의 보안 확인을 실행하고 안드로이드 기기에서 잠재적으

0xNews - CISCO 노후 장비에서 심각한 취약점 발견

0xNews - CISCO 노후 장비에서 심각한 취약점 발견 CISCO 발표 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm CVE-2021-1459 지정 CVSS 9.8 다음 기기가 이번 취약점에 영향을 받음 RV110W Wireless-N VPN Firewall RV130 VPN Router RV130W Wireless-N Multifunction VPN Router RV215W Wireless-N VPN Router 웹기반 관리 인터페이스에서 사용자 입력에 대한 부적절한 유효성 검사로 인해 취약점 발생 악의적인 공격자가 특수 제작된 HTTP 요청을 대상 기기에 전송 원격 코드 실행 RCE Remote Code Execution 달성하기 위해 악용될 수 있음 결과적으로 인증되지 않은 원격 공격자가 임의 코드를 실행 가능 익스플로잇에 성공한 공격자는 영향을 받는 기기의 기본 운영체제에서 루트 사용자로 임의 코드 실행 가능 해당 취약점에 대상이된 기기는 노후화된 장비이기 때문에 CISCO 에서는 보안 패치나 기타 해결방법 제공할 의도는 없음 CISCO 는 Small Business RV132W, RV160, RV160W Router 로 마이그레이션 하는 것을 추천 CVE-2021-1137 CVE-2021-1479 CVE-2021-1480 등 으로 지정 인증되지 않은 원격 공격자가 임의 실행 코드를 허용할 수 있는 Cisco SD-WAN vManage Software 에 대한 보안 패치 발표 인증된 로컬 공격자가 영향을 받는 시스템에서 권한 상승을 얻도록 허용 CVE-2021-1479 CVSS 9.8 버퍼 오버플로우 취약점 buffer overflow  공격자가 루트 권한으로 기본 운영체제에서 임의 코드 실행 가능

0xNews - VMware Data Center 에서 심각한 취약점 발견

0xNews - VMware Data Center 에서 심각한 취약점 발견 VMware 발표 https://www.vmware.com/security/advisories/VMSA-2021-0005.html VMware Carbon Black Cloud Workload 어플라이언스에 심각한 취약점으로 발생 이를 통해 인증 우회 후 취약한 시스템 제어 가능 CVE-2021-21982 지정 CVSS 9.1 버전 1.0.1 이전 모든 제품 버전에 영향을 미침 VMware Carbon Black Cloud Workload 는 VMware Data Center 보안 제품 회사의 클라우드 컴퓨팅 가상화 플랫폼인 vSphere 에서 호스팅되는 중요한 서버 및 워크로드를 보호하는 것을 목표로 함 VMware Carbon Black Cloud Workload 어플라이언스의 관리 인터페이스에 있는 URL 을 조작하여 인증 우회 가능 이를 통해 인터페이스에 대한 네트워크 접속 권한이 있는 공격자가 어플라이언스의 관리 API 접근 가능 접근 권한을 획득한 공격자는 관리 구성 설정을 강제 변경 가능 API 에 대한 네트워크 접근 권한이 있는 공격자가 SSRF Server Side Request Forgery 공격을 수행 vRealize Operations Manager 솔루션의 두 가지 취약점 해결 CVE-2021-21975 관리 자격 증명을 훔칠 수 있음 CVE-2021-21983 CVSS 7.3 기본 photon 운영 체제의 임의 위치에 파일 쓰기 CVE-2021-21975, CVE-2021-21983 등에 대한 VMware 보안 정보 공개 사이트 https://www.vmware.com/security/advisories/VMSA-2021-0004.html VMware photon OS 관련 Github 사이트 링크 https://github.com/vmware/photon VMware photon OS 는 가상 인프라의 성능 모니터링이나 최적화하고 워크로드 밸런싱, 문제 해결,

0xNews - SAP 에서 심각한 취약점 발견

이미지
0xNews - SAP 에서 심각한 취약점 발견 Onapsis 발표 https://onapsis.com/active-cyberattacks-mission-critical-sap-applications 2020년 중반부터 2021년 3월까지 SAP 시스템에 특화되어 이전에 알려진 취약점과 안전하지 않은 구성을 표적으로 한 총 1500건의 공격 시도 중 300건 이상 공격 성공 확인 공격자는 여러 차례 무차별 대입 공격 시도 SAP 계정에 대한 권한 부여 후 여러 취약점을 연결하여 SAP 애플리케이션 공격 시도 이번에 취약점이 알려진 대상은 ERP enterprise resource planning 전사 자원 관리 SCM supply chain management 공급망 관리 HCM human capital management 인적 자원 관리 PLM product lifecycle management 제품 수명 주기 관리 CRM customer relationship management 고객 관계 관리 등이 포함 하지만 이 외 프로그램도 취약점 대상 이번 발표 보고서에는 패치 발표 후 72시간 이내 SAP 취약점의 무기화를 요약 클라우드 환경에서 프로비저닝된 보호되지 않은 새로운 SAP 애플리케이션은 3시간 이내 발견되고 손상 확인 2020년 7월 14일 CVE-2020-6287 패치 발표 하루 후 PoC 등장 7월 16일 해당 취약점 관련 대량 스캔 활동 보고 7월 17일 모든 기능을 갖춘 공개 익스플로잇 릴리스 공격 벡터는 정교하지 않음 하지만 공격자는 다양한 기술과 도구, 절차를 선택하여 초기 접속 권한 획득 권한 상승 후 임의 명령 실행을 위한 웹쉘 삭제하고 보다 높은 권한을 가진 SAP 관리자 사용자를 생성 데이터베이스 자격 증명 추출 공격 접근 루트는 TOR 노드나 VPS virtual private servers 분산 가상 사설 서버 등의 도움을 통해 시작 현재까지 확인된 6개 취약점 CVE-2010-5326 CVSS 10 SAP NetWeaver A

0xNews - 링크드인 채용 제안을 통한 악성코드 배포 활동 발견

이미지
0xNews - 링크드인 채용 제안을 통한 악성코드 배포 활동 발견 eSentire TRU Threat Response Unit 발표 https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire 허위 구직 제안을 통해 피해자에게 전파하는 방식으로 more_eggs 라는 정교하게 만들어진 백도어 트로이 목마 설치를 유도 링크드인 LikedIn 에서 수집된 정보를 활용하여 희망 직무나 업무에 대한 내용을 전달하여 수신하도록 함 비슷한 방식으로 more_eggs 를 사용하는 스피어 피싱 공격 캠페인은 2018년부터 발견 백도어는 Golden Chickens 라는 MaaS Malware as a Service 제공 업체로부터 시발점 해당 백도어 more_eggs 가 설치되면 윈도우 운영체제의 정상적인 프로세스를 하이재킹 공격자의 프로필을 은밀히 유지 악성 프로그램에 의해 트리거되어 진행되는 백그라운드 작업을 수행하도록 취업 신청 문서 등의 악성코드가 담긴 문서 전파 공격자가 제어하는 서버에서 추가 페이로드를 검색 백도어를 통해 피해자 네트워크를 기준으로 데이터 유출 통로로 활용하여 더 많은 정보 탈취 수행 코로나 감염병 시기로 인해 실업률이 높아진 지금 구직자를 노리는 공격이 점차 확대 중 이와 같은 피해자 맞춤형 피싱 공격이 활발해지니 사용자 주의 필요

0xNews - 윈도우 운영체제 기능을 사용하여 방화벽 우회 가능 기법 발견

이미지
0xNews - 윈도우 운영체제 기능을 사용하여 방화벽 우회 가능 기법 발견 Fireeye 발표 https://www.fireeye.com/blog/threat-research/2021/03/attacker-use-of-windows-background-intelligent-transfer-service.html MS 윈도우 Windows BITS Background Intelligent Transfer Service 를 사용하여 윈도우 시스템에 은밀하게 악성 페이로드 배포 방법 발견 Fireeye 사이버 포렌식 연구 중 해커 그룹의 악성 코드 분석 중 발견 윈도우 BITS 를 사용하여 백도어가 설치되는 공격 기법으로 알려지지 않은 지속적인 공격 메커니즘 BITS 는 Windows XP 에서 처음 도입된 구성 요소 유휴 네트워크 대역폭을 사용하여 컴퓨터간 파일의 비동기 전송을 용이하게 함 다운로드나 업로드할 파일이 포함된 작업을 컨테이너화 하면 자동 생성 일반적으로 맬웨어 서명 업데이트를 가져오기 위해 Windows Defender 바이러스 백신 스캐너 뿐만 아니라 클라이언트에 운영체제 업데이트를 제공하는데도 사용 MS 의 자체 제품 외 Mozilla Firefox 와 같은 다른 응용 프로그램에서도 이 서비스를 사용 브라우저가 닫혀 있어도 백그라운드에서 다운로드를 계속 수행 악성 애플리케이션이 BITS 작업을 생성하면 서비스 호스트 프로세스의 컨텍스트에서 파일이 다운로드 되거나 업로드 실행 이는 악의적이거나 알려지지 않은 프로세스를 차단할 수 있는 방화벽을 회피하는데 유용할 수 있으며 전송을 요청한 애플리케이션을 모호하게 하는데 도움을 제공 특히 맬웨어 감염과 같은 침해 사건은 BITS 서비스를 활용하여 윈도우 운영체제 내 실행파일을 실행하도록 구성된 시스템 업데이트로 새 작업을 생성하는 것으로 확인 이를 통해 잘못된 URL 을 통해 다운로드를 실시하거나 백도어 프로그램의 트리거 역할을 수행하도록 함 악의적인 BITS 작업은 로컬 호스트에서 존재하지 않은 파일