openLab

0xNews - 오라클 VirtualBox 권한 상승 취약점 경고 SentinelLABS 발표 https://www.sentinelone.com/labs/gsoh-no-hunting-for-vulnerabilities-in-virtualbox-network-offloads/ 오라클 VM프로그램인 VirtualBox 취약점으로 인해 공격자는 하이퍼바이저를 손상시키고 DoS 상태를 유발 현재는 해당 문제에 대한 패치 제공 완료 공격자는 쉽게 공격 가능한 취약점 VirtualBox 실행이 인프라의 로그온한 사용자 권한을 읽어 권한 상승 가능 또한 공격자는 VirtualBox 사용 중단이나 행 hang 등을 유발하여 DoS 상태 유발 가능 CVE-2021-2442 지정 CVSS 6.0 https://nvd.nist.gov/vuln/detail/CVE-2021-2442 오라클 Oracle VirtualBox 6.1.24 이전의 모든 제품에 이번 취약점 대상 오라클은 2021년 7월 해당 문제에 대한 패치 제공 후 발표 https://www.oracle.com/security-alerts/cpujul2021.html 오라클 VM VirtualBox 는 사용자가 단일 물리 시스템에서 윈도우, 리눅스 배포판, OpenBSD, Oracle Solaris 와 같은 여러 게스트 운영체제를 실행할 수 있도록 하는 오픈소스 및 크로스 플랫폼 하이퍼바이저, 데스크탑 가상 소프트웨어 발표한 연구팀에서는 호스트 프로세스에서 범위를 벗어난 읽기와 정수 언더플로우 integer underflow 작동 경우에 따라 다른 VirtualBox 가상 머신을 원격으로 DoS 하는데도 사용 가능 이번 취약점 발표 이전 VirtualBox 6.1.20 이전 버전에 영향을 미치는 취약점을 2021년 4월 오라클에 보고 후 패치 완료 CVE-2021-2145 CVSS 7.5 오라클 VirtualBox NAT 정수 언더플러우 권한 상승 취약점 CVE-2021-2310 CVSS 7.5. 오라클 VirtualBo

0xNews - 자격 증명 도용 캠페인의 북한 해커의 배후 정보 리스트 공개 ProofPoint 발표 https://www.proofpoint.com/us/blog/threat-insight/triple-threat-north-korea-aligned-ta406-scams-spies-and-steals 북한과 관련 있는 해커 그룹의 정보 취합 결과 연구, 교육, 정부, 미디어와 기타 조직 등을 대상으로 하는 자격 증명 도용 캠페인에 대한 정보 확인 이중 일부는 공격과 정보 수집에 사용될 수 있는 맬웨어 배포 TA406 으로 명명된 해커 그룹인 침투를 담당 Kimsuky 로 널리 알려진 위협 정보 수집과 배포, 침투 https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky https://attack.mitre.org/groups/G0094/ CrowdStrike 로 알려진 벨벳 천리마 Velvet Chollima https://www.crowdstrike.com/blog/covid-19-cyber-threats/ MS 의 탈륨 https://blogs.microsoft.com/on-the-issues/2019/12/30/microsoft-court-action-against-nation-state-cybercrime/ PwC 의 블랙 밴시 Black Banshee https://www.pwc.co.uk/issues/cyber-security-services/research/tracking-kimsuky-north-korea-based-cyber-espionage-group-part-2.html IBM 의 ITG16 https://securityintelligence.com/media/recent-activity-from-itg16-a-north-korean-threat-group/ Cisco Talos 의 코니 그룹 Konni Group https://blog.talosintelligence.com/2017/07/konn

0xNews - 미국 FBI 에서 FatPipe VPN 제로데이 취약점에 대한 경고 발표 미국 FBI 발표 PDF 링크 https://www.ic3.gov/Media/News/2021/211117-2.pdf 2021년 5월부터 FatPipe VPN 네트워크 기기의 이전에 알려지지 않은 취약점을 악용하고 있음을 확인 이 취약점은 취약한 네트워크에 지속적인 접속을 유지하기 위해 알려지지 않은 공격자의 행위가 적발되면서 알려짐 취약점은 권한 상승과 이어지는 루트 액세스 root access 와 개발 활동을 위한 웹 셀을 드룹 무제한 파일 업로드 기능에 접속할 APT 공격 그룹에서의 활동으로 분석 이 취약점을 이용하여 ATP 공격자는 다른 인프라로의 공격을 위한 일종의 시발점 역할 할 것으로 파악 제로데이 취약점을 통해 원격 공격자가 영향을 받는 기기의 파일 시스템에 있는 모든 위치에 파일 업로드 가능 보안 취약점은 최신 릴리스 10.1.2r60p93, 10.2.2r44p1 이전 소프트웨어를 실행하는 FatPipe WARP, MPVPN, IPVPN 라우터 클러스터링과 VPN 로드밸런싱 기기의 웹 관리 인터페이스에 영향을 미침 FBI 는 공격자가 웹셀을 활용하여 악성 SSH 서비스를 설정 사이드로 이동하여 미국 내 인프라망을 추가적으로 공격 후 침입을 숨기고 악용한 부분을 숨기도록 설계된 것을 확인 매단계마다 각각 분리가 되어 있어 필요할 때마다 접속이 될 수 있도록 설계 FatPipe 는 버그가 특정 HTTP 요청에 대한 입력 유효성 검사 메커니즘의 부족으로 인해 발생 공격자가 영향을 받는 기기에 특수하게 조작된 HTTP 요청을 보내 문제를 악용할 수 있음 이 취약점을 해결할 수 있는 방법은 현재까지 존재하지 않음 WAN 인터페이스에서 UI나 SSH 접속을 비활성화하거나 신뢰할 수 있는 소스에서만 접속할 할 있도록 접속 리스트 구성하는 것을 권고 FatPipe 버그 리포트 사이트 링크 https://www.fatpipeinc.com/support/cve-list.ph

0xNews - PyPi 파이썬 라이브러리 내 숨겨진 악성 코드 발견 jfrog 발표 https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/ PyPi Python Package Index 저장소에서 누적 4만회 이상 다운로드 수행 Discord 접속 토큰, 암호를 훔치는데 악용될 수 있는 악성 파이썬 패키지 11개 발견 다음은 악성 파이썬 패키지 리스트 importantpackage / important-package pptest ipboards owlmoon DiscordSafety trrfab 10Cent10 / 10Cent11 yandex-yt yiffparty 다음 패키지 리스트 중 2개 - importantpackage, 10Cent10 감염된 시스템에서 리버스 쉘 reverse shell 획득 후 공격자가 감염된 시스템을 완전히 제어 가능하도록 함   다음 패키지 리스트 중 2개 - ipboards, trrfab 종속성 혼동 dependency confusion 혹은 네임스페이스 혼동이라는 기술을 이용 자동으로 가져오도록 설계된 정상적인 종속성으로 가장 악의적인 행위자가 인기 있는 변종의 철자가 틀린 이름을 가진 패키지를 고의적으로 게시하는 타이포스 쿼팅 공격과 달리 종속성 혼란은 정상적인 것과 동일한 이름을 가진 중독된 구성 요소를 공개 저장소에 업로드 하지만 더 높은 버전을 사용하여 효과적으로 대상 패키지를 강제 실행함으로써 구동 관리자는 악성 모듈을 다운로드 하여 시스템에 설치 패키지 importantpackage 의 종속성은 네트워크 기반 탐지를 피하기 위한 새로운 유출 메커니즘으로 유명 Fastly 의 CDN content delivery network 사용 pypi.org 와의 통신으로 공격자가 제어하는 서버와의 통신을 마스킹하는 작업이 포함 악성코드는 HTTPS 요청이 pypi.python.org 으로 전송되도록 함

0xNews - 리눅스 커널에서 TIPC 모듈에서 RCE 취약점 발견 Sentinelone 발표 https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/ 리눅스 Linux 커널의 TIPC Transparent Inter Process Communication 모듈에서 잠재적으로 커널 내에서 RCE 코드를 실행하고 취약한 시스템을 제어하기 위해 로컬과 원격에서 활용될 수 있는 취약점 발견 CVE-2021-43267 지정 힙 오버플로 Heap Overflow 취약점으로 인한 커널 권한을 얻기 위해 네트워크 내에서 로컬 혹은 원격에서 공격하여 악용될 수 있으며 공격자가 전체 시스템을 손상 시킬 수 있음 TIPC 는 동적 클러스터 환경에서 실행되는 노드가 TCP와 같은 다른 프로토콜보다 더 효율적이고 내결함성이 있는 방식으로 서로 안정적으로 통신하도록 설계된 전송 계층 프로토콜 2020년 9월 도입된 MSG_CRYPTO 라는 새로운 메시지 유형과 관련이 있으며 클러스터의 피어 노드가 암호화 키를 전송 가능함 프로토콜은 패킷의 실제 페이로드 크기가 최대 사용자 메시지 크기를 초과하지 않고 메시지 헤더 크기보다 큰지 확인하기 위해 복호화 후 이러한 메시지의 유효성을 검사하는 검사를 수행 제한 사항은 발견되지 않음 키(keylen) 자체의 길이에 배치되어 공격자가 힙 Heap 메모리를 할당하기 위해 작은 몸체 크기의 패킷을 만든 후 다음 이 'keylen' 속성에서 임의의 크기를 사용하여 이 위치를 벗어나서 사용하도록 함 10월 19일 취약점 공개 후 10월 31일 릴리스된 Linux Kernel v.5.15 에서 해당 문제 해결 함수 tipc_crypto_key_rcv 는 MSG_CRYPTO 메시지를 구문 분석하여 클러스터의 다른 노드에서 키를 수신하여 추가 메시지를 해독하는 데 사용 이 패치는 메시지 본문에 제공된 크기가 수신