openLab

0xNews - Zabbix 네트워크 모니터링 플랫폼에서 취약점 발견 SonarSource 발표 https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage 미국 사이버 보안 및 인프라 보안국 CISA Cybersecurity and Infrastructure Security Agency 에서는 해당 취약점으로 인한 공격에 대비하기 위한 내부 문서에 취약점 카탈로그에 해당 정보 업로드 후 정보 공유 https://www.cisa.gov/uscert/ncas/current-activity/2022/02/22/cisa-adds-two-known-exploited-vulnerabilities-catalog Zabbix 네트워크 모니터링 플랫폼에서 두가지 보안 취약점 확인 CVE-2022-23131 / CVSS 9.8 CVE-2022-23134 / CVSS 5.3 등 취약점 확인 전체 네트워크가 손상되어 인증되지 않은 공격자가 권한 상승과 관리자 접속 권한 취득 가능 Zabbix Frontend 외 다른 구성 변경 가능 Zabbix Unsafe Session Storage - CVE-2022-23131 Zabbix Unsafe Session Storage - CVE-2022-23134 Zabbix Web Frontend 버전에 영향을 미치는 버전 / 2021년 12월말 출시된 버전에서는 문제 해결 5.4.8 -> 5.4.9 5.0.18 -> 5.0.19 4.0.36 -> 4.0.37 이번 취약점을 발표한 연구팀은 해당 취약점을 안전하지 않은 세션 저장소로 인해 발생한 것으로 분석 공격자가 인증을 우회하고 임의 코드 실행 가능 이 취약점은 SAML Security Assertion Markup Language SSO Single Sign-On 인증이 활성화된 경우에만 영향을 미침

0xNews - 미국 NSA 에서 비밀리에 움직이는 해킹 도구의 세부 정보 발견 중국 팡구랩 발표 https://www.pangulab.cn/en/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/ 중국 팡구랩은 2014년 애플 iPhone 탈옥하는 Pangu Team 의 연구 프로젝트에서 부타 시작 Tianfu Cup 해킹 대회에서 White Hat 해킹팀은 iOS 15 가 실행되는 iPhone 13 Pro 를 원격으로 탈옥할 수 있는 몇가지 보안 취약점을 발표와 시연 수행 미국 국가안보국 NSA National Security Agency 의 사이버 정보 수집 부서와 관련이 있다고 보이는 Equation Group 에서 사용하는 최상위 Top-tier 레벨의 백도어 확인과 이에 대한 세부 정보 공개 이 백도어는 BVP47 로 지칭 암호화 알고리즘에 사용된 문자열 BVP 숫자값 0x47 에 대한 수많은 참조로 인해 BVP47 로 지칭 2013년부터 각 주요 부서에 있는 리눅스 시스템에서 심층 포렌식 조사 중 발견 핵심적인 특징은 TCP SYN 패킷 코드 난독화 시스템 은닉과 자체 파괴 설계를 기반으로 한 고급 은닉 채널에서의 동작 확인 결과 중국, 한국, 일본, 독일, 스페인, 인도 등 총 45개국에 있는 학교, 경제, 군사, 과학 분야 등 287개 이상의 표적을 대상으로 공격 수행 10년이 넘는 기간 동안 해당 행위에 대한 적발, 발견 등이 되지 않았음 파악하기 어려운 이 백도어는 암호화 알고리즘을 사용하여 보호되는 원격 제어 기능도 탑제 이를 활성화 하려면 공격자는 개인 키를 이용 해당 기능은 2016년 새도우 브레이커스 Shadow Brokers 해커 그룹이 발표한 정보 누출에서 발견한 것이라고 발표 Kaspersky 에서는 Equation Group 에 대해 사이버 스파이의 왕관 창시자 crown creator of cyber espionage 라고 지칭 https://www.kaspersky.

0xNews - 공식 NPM 패키지 저장소를 통해 악성코드가 숨겨진 자바 스크립트 라이브러리 발견 JFrog 발표 https://jfrog.com/blog/malware-civil-war-malicious-npm-packages-targeting-malware-authors/ 악성 코드가 숨겨진 자바 스크립트 라이브러리는 총 25개 이중 17개 패키지는 삭제 위 악성 자바 스크립트 라이브러리 패키지는 손상된 시스템에서 디스코드 Discord 토큰과 환경 변수를 탈취하는 것을 공격 목표로 함 문제의 라이브러리는 typosquatting 기술을 활용하여 colors.js / crypto-js / discord.js / marked / noblox.js 등과 같은 정상적인 패키지로 위장 악성 코드가 포함된 자바 스크립트 패키지 리스트 node-colors-sync - 디스코드 토큰 스틸러 color-self - 디스코드 토큰 스틸러 color-self-2 - 디스코드 토큰 스틸러 wafer-text - 환경변수 스틸러 wafer-countdown - 환경 변수 스틸러 wafer-template- 환경 변수 스틸러 wafer-darla - 환경변수 스틸러 lemaaa - 디스코드 토큰 스틸러 adv-discord-utility - 디스코드 토큰 스틸러 tools-for-discord - 디스코드 토큰 스틸러 mynewpkg - 환경 변수 스틸러 Purple-bitch - 디스코드 토큰 스틸러 Purple-bitches - 디스코드 토큰 스틸러 noblox.js-addons - 디스코드 토큰 스틸러 kakakaakaaa11aa - 커넥트백 쉘 markedjs - 파이썬 원격 코드 인젝터 crypto-standarts - 파이썬 원격 코드 인젝터 discord-selfbot-tools - 디스코드 토큰 스틸러 discord.js-aployscript-v11 - 디스코드 토큰 스틸러 discord.js-selfbot-aployscript - 디스코드 토큰 스틸러 disco

0xNews - Snap 패키지 관리자에서 발견된 새로운 리눅스 권한 상승 취약점 발견 Qualys 발표 https://blog.qualys.com/vulnerabilities-threat-research/2022/02/17/oh-snap-more-lemmings-local-privilege-escalation-vulnerability-discovered-in-snap-confine-cve-2021-44731 Snap 소프트웨어 패키징과 배포 시스템에서의 보안 취약점 공개 이 중 가장 심각한 취약점은 루트 권한을 얻기 위해 권한 상승 가능 Snap 는 리눅스 Linux 커널을 사용하는 운영체제에서 작동하도록 설계된 독립형 애플리케이션 패키지 snapd 라는 도구를 사용하여 설치 가능 CVE-2021-44731 로 지정 CVSS 7.8  snap-confine 기능의 권한 상승 취약점 발견 snapd 에서 snap 애플리케이션을 위한 실행 환경을 구성하기 위해 내부적으로 사용하는 프로그램 해당 취약점을 성공적으로 악용하면 권한이 없는 사용자가 취약한 호스트에 대한 루트 권한을 얻을 수 있음 RedHat 연구팀은 snap-confine 구성 요소의 경합 상태 race condition 로 설명 snap 을 위한 전용 마운트 네임스페이스를 준비할 때 snap-confine 사용에 대한 경쟁 조건 발생 이렇게 된 후 로컬 공격자가 snap 의 개인 마운트 네임스페이스 내부에 자신의 콘텐츠를 바인드 마운트 실행 이후 snap-confine 이 임의의 코드를 실행하도록 하여 권한 상승을 유발하여 루트 권한을 얻을 수 있음 이 외 추가 발견된 취약점 리스트 CVE-2021-3995 util-linux의 libmount에서 승인되지 않은 마운트 해제 CVE-2021-3996  util-linux의 libmount에서 승인되지 않은 마운트 해제 CVE-2021-3997  systemd의 systemd-tmp 파일에서 제어되지 않는 재귀 CVE-2021-3998  glibc