0xNews - 미국 NSA 가 러시아 정부 해커 그룹이 악용하는 상위 5개 취약점 공개
0xNews - 미국 NSA 가 러시아 정부 해커 그룹이 악용하는 상위 5개 취약점 공개
미국 NSA National Security Agency, CISA Cybersecurity and Infrastructure Security Agency, FBI Federal Bureau of Investigation 등 미국 정부 기관의 공동 자문에서 발표
이번 정보 공개에서 미국 NSA 는 러시아 SVR Sluzhba Vneshney Razvedki 대외정보국이 공공 서비스에 대해 해당 취약점을 사용
미국 정부 네트워크와 기업을 대상으로 네트워크를 손상시켜 인증 자격 증명을 획득하고 있는 것을 확인
NSA 는 데이터 도난, 은행 사기, 랜섬웨어 등으로 이어지는 사이버 공격으로부터 보호하기 위해 취약한 기기를 즉시 보안 패치하도록 모든 조직에 권고
현재 릴리스의 취약점은 정부나 민간 부분의 네트워크 대상으로 하는 SVR 툴킷 중 일부
러시아 SVR 이나 그 외 위협 행위자의 추가 공격을 방지하기 위해 모든 관리자가 이러한 취약점에 대해 관련 완화 조치를 조속히 구현할 것을 강력 권고
CVE-2018-13379
CVSS 9.8 Critical
Fortinet FortiOS 6.0~6.0.4, 5.6.3~5.6.7, 5.6.7~5.4.12 대상
Fortinet SSL Secure Sockets Layer VPN Virtual Private Network 웹 포털에서 제한된 디렉토리에 대한 경로 이름의 부적절한 제한 Path Traversal 으로 인해 인증되지 않은 공격자가 특수 제작된 HTTP 리소스 요청을 통해 시스템 파일을 다운로드
취약점이 내포된 기기가 광범위하게 사용되기에 취약점을 통해 많은 곳이 공격 당함
미국 정부 선거의 시스템 지원 공격
COVID-19 연구 기관 공격
https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development
Cring 랜섬웨어 배포에 이용
CVE-2019-9670
CVSS 9.8 Critical
Synacor Zimbra Collaboration Suite v.8.7.11p10 이전 v.8.7.x 대상
Synacor Zimbra Collaboration Suite 에서 메일 박스 구성 요소에는 XML XXE External Entity Injection 취약점 존재
CVE-2019-11510
NVD CVSS 10.0 Critical
PCS Pulse Connect Secure v.8.2, v.8.3R7.1 이전의 8.3, 9.0R3.4 이전의 9.0 대상
Pulse Secure VPN 에서 인증되지 않은 원격 공격자는 특수 제작된 URI Uniform Resource Identifier 전송
임의 파일 읽기를 실행 가능
Pulse Secure VPN은 미국 정부 네트워크에 대한 접속 권한을 얻고 병원을 공격하며 네트워크에 랜섬웨어를 배포하는데 사용
한동안 공격자들에게 인기 있었음
CVE-2019-19781
CVSS 9.8 Critical
Citrix ADC 와 Gateway 의 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15, 10.5.70.12 등의 이전 버전 대상
SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, 5100-WO 의 10.2.6b, 11.0.3b 등의 이전 버전 대상
Citrix ADC Application Delivery Controller, Gateway 는 디렉토리 탐색 허용
이 취약점은 공격자가 기업 네트워크에 접속하고 맬웨어 배포하는데 사용하는 것으로 알려짐
CVE-2020-4006
CVSS 9.1 Critical
리눅스용 VMware One Access 20.01, 20.10
리눅스용 VMware Identity Manager 3.3.1~3.3.3
VMware Identity Manager Connector 3.3.1~3.3.3, 19.03
VMware Cloud Foundation 4.0~4.1
VMware Vrealize Suite Lifecycle Manager 8.x
VMware Workspace One Access, Access Connector, Identity Manager, Identity Manager Connector 등에는 명령 삽입 취약점 command injection 존재
2020년 12월 미국 정부에서는 러시아 정부가 후원하는 해커 그룹이 취약한 서버에 웹쉘을 배포
데이터 탈취를 위해 이 취약점을 악용한다고 경고
러시아 SVR 은 이 외 다양한 취약점을 조합하여 활용
모든 관리자는 관련 보안 업데이트를 조속히 실행할 것을 권고
NSA 는 CVE-2019-11510, CVE-2019-19781 등의 취약점은 중국 정부가 지원하는 해커 그룹이 활용하는 25개 취약점에도 속한다고 지적
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.