해외 보안 트렌드

요약

- 멀웨어 특징 : Mac의 빌트인 보안소프트웨어 GateKeeper 등이 Mac 운영체제 호환 파일들만을 점검한다는 점을 이용 (Mac에서 .exe파일 실행 시 오류 메시지만 발생하고, 실행 파일의 보안점검 우회 가능). 

- 공격 방법 : 

º 사용자가 torrent 사이트에서 다운받은 가짜 유명 소프트웨어 설치파일(exe 파일 또는 .dmg,Mac 실행파일)을 실행 시 감염 됨.

º 사용자가 가짜 설치파일을 실행 시, 시스템 정보를 수집해 C&C 서버로 전송.

º 설치 완료 후, Adobe Flash media Player 또는 Little Snitch(소프트웨어 방화벽)로 가장한 애드웨어를 다운로드 해 설치함.

º Trend Micro에 따르면 해당 멀웨어 감염 사례가 영국, 호주, 아르마니아, 룩셈부르크, 남아프리카, 미국 등지에서 다수 보고됨.

º 정확한 공격 패턴은 아직 밝혀지지 않음

영향성

검증된 사이트에서만 파일이나 프로그램을 다운로드 받을 시 해당 멀웨어 감염을 방지 가능

참고자료

TrendMicro보고서 https://blog.trendmicro.com/trendlabs-security-intelligence/windows-app-runs-on-mac-downloads-info-stealer-and-adware/

출처 : https://www.hackread.com/exe-malware-hit-mac-users/

요약

- runC: 가볍고 이동 가능하게 설계된 런타임으로 Docker, cri-o, containerd, Kubernetes 등의 다양한 컨테이너 플랫폼의 베이스 런타임으로 활용되고 있음.

- 취약점 : 악성 컨테이너가 호스트 runC 바이너리 내용을 덮어써, 컨테이너의 호스트 시스템에서 root 레벨의 임의 코드를 실행 할 수 있음. 

- 대응방안 : runC 패치

(1) 컨테이너 프로세서가 container_runtim_t로 실행되기 때문에, AppArmor(리눅스 커널 보안모듈)와 SELinux(Fedora moby엔진만 해당) 

    정책으로 해당 취약점에 대한 방어 불가능.

*예외 : Fedora moby엔진 패키지 이외 : 컨테이너는 container_t로 실행되기 때문에 docker패키지와 podman(docker와 같은 기능제공)은 

         해당 취약점으로부터 안전함. 

(2) 호스트 root가 컨테이너의 사용자 네임스페이스로 맵핑되지 않게 설정되어 있을 시 취약하지 않음.

- 영향받는 제품 : 모든 runC 컨테이너

*runC외에도 대부분의 컨테이너 런타임들이 해당 취약점을 가지고 있음

(1) 현재까지 검증된 미취약 컨테이너 : 리눅스 컨테이스(LXC, LinuX Containers)

(2) 조사 중인 컨테이너 : Apache Mesos (해당 관계자에 따르면 취약하다고 하나, 취약여부를 조사 중)

(3) 취약 컨테이너 : 

Redhat

Debian

Amazon Linux

Amazon Elastic Container Service(Amazon ECS), 

Amazon Elastic Container Service for Kubernetes(Amazon EKS), 

AWS Fargate, 

AWS IoT Greengrass, 

AWS Batch

AWS Elastic Beanstalk

AWS Cloud9

AWS SageMaker

AWS RoboMaker

AWS Deep Learning AMI

관련 CVE정보

- CVE-2019-5736

- CVSS 3.0 Score : 7.7

- PoC : 2/18일에 공개 예정

  https://github.com/feexd/pocs/blob/master/CVE-2019-5736/exploit.c

탐지룰 존재유무

TrendMicro

- Rule 1002770 - Unix - File Attributes Change In /usr/bin AND /usr/sbin Locations

- Rule 1008271 - Application - Docker

(https://success.trendmicro.com/solution/1122066)

참고자료

runC패치: https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

Redhat : https://access.redhat.com/security/cve/cve-2019-5736

Debian : https://security-tracker.debian.org/tracker/CVE-2019-5736

Amazon : https://aws.amazon.com/security/security-bulletins/AWS-2019-002/

Kubernetes : https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

출처 : https://seclists.org/oss-sec/2019/q1/119

요약

- Adiantum : 모바일 기기, IoT 기기의 성능을 저하시키지 않고 로컬 데이터 암호화가 가능한 알고리즘.

- 기존 모바일 기기 암호화 문제점 : Google은 안드로이드 기기 제조사들에게 AES(Advanced Encryption Standard)암호화가 가능하도록 

  기기 제조를 요구해왔으나, 현실적으로 저가형 모바일, 커넥티드 기기의 경우, AES 암호화 성능이 저조하여(50MiB/s 이하) 암호화 기능 자체를 

  사용 하지 않도록 설정되어 있음

- 위의 문제점을 보안하기 위해 Adiantum 개발. 

- Adiantum 장점 : ChaCha 스트림 암호 사용(AES암호에 비해 안전성과 속도가 높음), 저가형 ARM 프로세서 성능에 영향을 끼치지 않고 

                       보안성을 극대화 할 수 있음

- Adiantum을 이용해 Google은 스마트워치부터 커넥티드 의료 장비에 이르기까지 보안성을 업그레이드한 차세대 모바일, IoT 기기 개발을 

  염두에 두고 있음

영향성

모바일, IoT기기의 보안 성능 강화를 이끌 것으로 예상 됨

참고자료

Adiantum Whitepaper : https://opensource.google.com/projects/adiantum

Google 블로그 : https://security.googleblog.com/2019/02/introducing-adiantum-encryption-for.html

출처 : https://thehackernews.com/2019/02/fast-adiantum-file-encryption.html

요약

- mstsc.exe : Microsoft사 제공 RDP 클라이언트

- 취약점 : 클립보드 공유로 인한 디렉토리 접근공격 가능. 클라언트에서 복사/붙이기 기능을 이용해, 악의적인 RDP 서버는 클라이언트 시스템의 임의의 위치에 임의의 파일을 이동가능.  

- 공격을 위해서는 사용자의 상호 작용이 필요하기 때문에 Microsoft에서는 이를 취약점으로 인정하지 않음

- 대응방안 : 양방향 클립보드 공유 기능 사용 중지

관련 CVE정보

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

  https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

  https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- rdesktop : 오픈소스 RDP 클라이언트, Kali 리눅스 버전에 기본으로 설치되어 있음

- 총 11개 취약점 발견

- 영향 받는 제품 :  rdesktop 1.8.3 이하

- 주요 취약점

(1) rdesktop ispci_process 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20179) 

취약원인 : ispci_process( )함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.    

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(2) rdesktop rdpsnddbg_process( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20180)

취약원인 : rdpsnddbg_process( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(3) rdesktop seamless_process( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20181)

취약원인 : seamless_process( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(4) rdesktop process_bitmap_updates( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE 2018-8795)

취약원인 : process_bitmap_updates( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(5) 기타 취약점

CVE-2018-8791, 8792, 8793, 8794, 8796, 8797 ,8798, 8799, 8800

CVE-2018-20174, 20175, 20176, 20177, 20178, 20182

- 대응 방안 : 1.8.4 또는 최신 버전으로 업그레이드

관련 CVE정보

- CVE-2018-8791~8800, CVE-2018-20174~20182

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

   https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

   https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- FreeRDP : 가장 널리 사용되는 오픈소스 RDP 클라이언트 

- 총 5개 취약점 발견

- 해당되는 제품 :  2.0.0-rc3 버전 이하 

- 주요 취약점

(1) FreeRDP update_read_bitmap_update( )버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-8786)

취약원인 : update_read_bitmap_update( )함수의 부절절한 경계 검사로 인해 오버플로우로 발생

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(2) FreeRDP gdi_Bitmap_Decompress( )버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-8787)

취약원인 : gid_Bitmap_Decompress( )함수의 정수 언더플로우로 인해 발생

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(3) 기타 취약점 :

CVE-2018-8784, 8785, 8788, 8789

- 대응 방안 : 2.0.0-rc4 또는 최신 버전으로 업그레이드

관련 CVE정보

- CVE-2018-8784 ~ 8789

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

탐지룰 존재유무

-Check Point : FreeRDP Remote Code Execution (CVE-2018-8786)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

  https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

  https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- 취약점 : 악성 어플리케이션으로 Keychain(Mac OS용 패스워드 관리 시스템)에 저장된 패스워드에 대한 접근 가능. 관리자의 권한이 없이도 다른 사용자의 Keychain 파일 내용까지 추출 가능함.

- 해당되는 제품 :  macOS 10.14.3 (현재까지 확인된 버전)

- 대응방안 : 수동으로 Keychain 잠금, Keychain에 대한 비밀번호 설정.

- Apple이 macOS를 제외한 나머지 제품에 대해서만 버그 바운티 프로그램을 실시하는데에 대한 불만으로 최초 발견자(Linus Henze)는 Apple에 취약점 관련 자료 공유를 거부함.

관련 CVE정보

- PoC : 아직 공개하지 않음 (재현 YouTube 영상만 공개함)

영향성

PoC가 공개되지 않아 정확한 영향성은 확인하기 어려움

참고자료

Linus Henze 트위터 : https://twitter.com/LinusHenze

출처 : https://www.zdnet.com/article/new-macos-zero-day-allows-theft-of-user-passwords/#ftag=RSSbaffb68

   https://www.bleepingcomputer.com/news/security/researcher-declines-to-share-zero-day-macos-keychain-exploit-with-apple/

요약

*Airbus : 1970년 설립된 유럽 항공기 제조사. 10,000명 규모의 회사

- 유럽 항공기 제조사 Airbus에 인가되지 않은 접근이 허용되어 업무관련 연락처와 유럽 근로자의 개인정보가 유출되었다고 발표함.

- 현재 Airbus는 이번 데이터 유출이 특수한 목적을 가지고 이루어진 것 인지를 밝히기 위해 조사 중.

- 피해규모 : 사측에 따르면 항공기 제조 라인에는 아무 영향이 없음. 

- 과거 공격과의 연관성 : 2주전 Amadeus 온라인 예약 시스템에 보안 취약점이 존재해 140개의 세계 항공사의 온라인 시스템에서 항공 티켓 탑승자 정보 변경 및 고객 정보가 노출 되었음.

*Airbus는 Boeing의 경쟁사임. Boeing은 지난 3월 WannaCry 랜섬웨어의 공격을 받았으나, 생산라인에 피해를 입지는 않았다고 주장한 바 있음.

영향성

자세한 피해 규모에 대해서는 밝히지 않았으나 2주전 밝혀진 항공권 예약시스템 취약점과 연관된 것일 수 있다고 추측.

참고자료

출처 : https://www.zdnet.com/article/airbus-data-breach-impacts-employees-in-europe/

        https://www.bleepingcomputer.com/news/security/airbus-data-breach-exposes-employee-credentials-professional-contact-details/