해외 보안 트렌드

요약

- Tory Hunt(계정정보 유출 확인 사이트 haveIBeenPwned 운영) 27억줄 가량의 유출된 이메일과 비밀번호 파일 Collection #I 발표

- 지난 주, 다수의 사람이 Tory Hunt에게  클라우드 서비스 MEGA에 저장된 약 12,000개의 유출된 계정 정보 파일을(87GB상당) 제공 

- 획득한 데이터 셋은 자신의 웹사이트 ‘havaIBeenPwned’에 적용.

- 기존 이메일 계정에 데이터 유출사고에 영향이 있는지만 검색이 가능한 것을 특정 비밀번호도 검색을 통해 유출 여부 확인 가능

  (Collection #I에서 총 21,222,975개의 비밀번호가 등록 되었고, 중복 제거한 비밀번호의 수는 551,509,767개)

- 계정정보가 유출된 사이트 이름 또한 일부 공개 (https://pastebin.com/UsxU4gXA)

영향성

단일 유출 데이터중 가장 방대한 데이터로 이슈가 되고 있음

참고자료

출처 : https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

         https://threatpost.com/773m-credentials-dark-web/140972/

요약

*ES File Explorer : 로컬, 네트워크 연결을 통해 다양한 파일들을 관리할 수 있는 안드로이드 앱. 이더넷을 이용 컴퓨터, 테블릿 등의 파일을 원격으로 접근가능.

무료 앱으로 널리 사용되고 있음. 실행 시 59777 포트 사용 

- 취약점 : ES File Explorer 앱 사용 안드로이드 장비와 동일한 포트에 연결되어 있는 장비들의 데이터 접근 가능.

- 선행조건 : 공격자는 네트워크 인증을 거치고 목표 장비가 같은 네트워크에 연결돼 있어야 함.

- 영향성 : 동일 네트워크 장비의 데이터 유출이 취약하나, 해당 앱으로 컴퓨터의 파일을 원격으로 관리할 수도 있어 주의 필요.

- 영향 받는 제품 : ES File Explorer 4.1.9.7.4 이하 버전 

- 대응 방안 :  현재(2019.1.17 15:20) 없음

관련 CVE정보

- CVE-2019-6447

- PoC : https://github.com/fs0c131y/ESFileExplorerOpenPortVuln

참고자료

출처 : https://techcrunch.com/2019/01/16/android-app-es-file-explorer-expose-data/

요약

*SCP(Session Control Protocol, Secure Copy Protocol) : 로컬 호스트와 RCP(Remote Copy Protocol)와 SSH 프로토콜을 이용하는 원격 호스트간의 파일을 전송 시 사용 됨.

1983년에 개발됨. 당시 보안이 강화된 RCP로 소개되며 서버와 클라이언트 사이에 파일을 전송하는데 SSH의 인증과 인크립션 기능을 사용함.

- 취약점 : SCP클라이언트의 불충분한 검증 때문에 발생. 악성 서버나 MiTM(man-in-the-middle)공격에 악용 가능하며, 공격자는 클라이언트의 시스템에 임의의 파일을 전송(drop)하거나 덮어쓸(overwrite) 수 있음

- SCP 클라이언트 부적절한 이름 검증 (CVE-2018-20685) : 원격 SCP 서버가 빈(‘D0777 0 \n’) 또는 점(‘D0777 0 .\n’) 디렉토리 이름을 사용해 목표 디렉토리의 권한을 변경할 수 있음

- SCP 클라이언트 송신받은 오브젝트 이름 검증 미존재 (CVE-2019-6111) : 악성 SCP 서버는 SCP 클라이언트의 목표 디렉토리에 임의의 파일을 덮어 쓸 수 있음. 재귀 명령어(-r)이 작동 시, 서버는 서브 디렉토리 또한 조작할 수 있음

- SCP 클라이언트 오브젝트 이름 이용 스푸핑 (CVE-2019-6109) : 진행 화면에 문자 인코딩이 존재하지 않아 ANSI 코드를 이용해 추가 파일들이 전송되는 것을 감추는 등의 클라이언트 아웃풋 조작 가능.

- SCP 클라이언트 stderr을 통한 스푸핑(CVE-2019-6110) : 악성 SCP 서버가 클라이언트의 아웃풋 조작할 수 있음

- 공격 시나리오 예 : 공격자가 컨트롤 하는 서버가 공격목표 대상의 홈 디렉토리에 .bash_aliases 파일을 전송하여 리눅스 유저가 새로운 쉘을 실행 시 악의적인 명령들을 실행하게 함.

- 영향 받는 제품 : SCP프로토콜을 사용하는 모든 제품 ex) OpenSSH, Putty, WinSCP

- 대응 방안 : 일부 취약점에 대한 패치 (WinSCP 5.14 이후버전으로 업데이트/OpenSSH 비공식 패치 존재) 또는 SCP 대신 SFTP(보안이 강화된 FTP)를 사용하도록 설정

관련 CVE정보

- CVE-2018-20685 : SCP client improper directory name validation

- CVE-2019-6111 : SCP client missing received object name validation

- CVE-2019-6109 : SCP client spoofing via object name

- CVE-2019-6110 : SCP client spoofing via stderr

- PoC : https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

참고자료

연구진 분석 : https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

출처 : https://thehackernews.com/2019/01/scp-software-vulnerabilities.html

요약

- 2020년 1월 14일을 기점으로 Windows 7에 대한 기술적 지원 중단.

- 엔터프라이즈 Windows 7를 사용하는 회사는 기술 지원 연장을 위해서는 연간 100만달러(약 11억2050만원) 이상의 라이센스비를 지불 해야 함.

- 12개월안에 마이그레이션을 해야 하는 상황 (대규모 회사의 경우 Windows XP에서 Windows 7으로 마이그레이션 하는데 길게는 3년이 걸리기도 함)

- ‘Windows as a Service’ 라는 Microsoft의 새로운 시스템에 따라 마이그레이션이 완료된 후에도 Windows 10 을 계속적으로 업데이트 해야 함

   이는 노후화된 인프라스트럭처를 사용 중인 시스템에 현실적으로 불가능 함

- 2018년 12월을 기준 Windows 사용자 중 35.63%가 Windows 7을 사용 (Windows 10 사용 : 52.36%)

영향성

기업 사용자들은 단계적 마이그레이션 실시 혹은 서비스 종료 후 시스템 유지 보수에 대한 대책 마련 필요

참고자료

출처: https://www.helpnetsecurity.com/2019/01/15/still-running-windows-7/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

 https://www.howtogeek.com/400783/windows-7-only-has-one-year-of-security-patches-left/

요약

- Google은 DNS(Domain Name System) 서비스(8.8.8.8, 8.8.4.4)를 TLS(Transport Layer Security) 보안 프로토콜을 통해 제공

  (DNS 쿼리와 응답값은 TLS 암호화된 TCP로 전송됨)

- DNS-over-TLS는 2가지 모드로 사용 가능: strict, opportunistic 프라이버스 모드 

- Strict 프라이버시 모드 : 장비/시스템은 DNS서버와의 시큐어 TLS 연결 시 853포트를 사용(접속에 실패할 시, 서버는 error로 응답)

- Opportunistic 프라이버시 모드 :  853포트를 통한 서버와의 시큐어 TLS 연결에 실패할 시, 보안과 프라이버시 기능이 없는 일반 UDP 또는 TCP를 사용. 일반 DNS 포트 53을 이용해 DNS 서버와 접속.

- Android 9 Pie 사용자는 모바일에서도 DNS-over-TLS 사용가능(이하 버전의 사용 불가능)

- 일반적으로 DNS 쿼리는 UDP와 TCP로 암호화되는 과정없이 평문으로 전송되어 사용자의 접속 사이트를 알 수 있을 뿐 아니라 스푸핑 공격에도 취약함.

*Google외에도 DNS-over-TLS 기능을 사용하는 회사로 Cloudflare(1.1.1.1)가 있음

영향성

Google DNS보다 Cloudflare(속도가 훨씬 빠르며, Google과 달리 사용자의 데이터를 수집하여 판매하지 않음)의 서비스에 대한 관심도가 더 높음.

참고자료

출처: https://thehackernews.com/2019/01/google-dns-over-tls-security.html

  https://www.zdnet.com/article/google-public-dns-gets-dns-over-tls-treatment/

요약

- Systemd : 유명한 init 시스템으로 대부분의 Linux 운영체제의 서비스 매니저로 사용됨 

- 취약점: 다양한 소스에서 정보를 수집하고 이벤트 로그를 기록하는 ’system-journald’에 취약점 존재. 

syslog 함수를 부를 때 발생하는 메모리 변형으로 인해 Denial of Service 취약점 발생

로컬 공격자는 특수하게 가공한 명령어를 보내 Denial of Service 상태를 유발할 수 있음

(Stack Clash(악성코드 혹은 권한이 낮은 사용자가 root로 권한 상승가능)취약점과 유사함)

- 취약 대상 : Linux Redhat, Debian

- 대응 방안 : system 최신 버전으로 업그레이드

관련 CVE정보

- CVE-2018-16864

- CVSS Score: Base 6.2

- PoC : https://www.qualys.com/2019/01/09/system-down/system-down.txt

참고자료

출처: https://thehackernews.com/2019/01/linux-systemd-exploit.html

  https://www.bleepingcomputer.com/news/security/linux-systemd-affected-by-memory-corruption-vulnerabilities-no-patches-yet/

요약

- Secure/Multipurpose Internet Mail Extensions(S/MIME) 해독, 검증 또는 Cisco Email Security Appliance(ESA)의 Cisco AsyncOS 소프트웨어 S/MIME 퍼블릭 활성 기능에 취약점 존재. 

- 취약점: 인증되지 않은 원격 공격자가 시스템 메모리 변형을 일으킬 수 있음. 예기치 못하게 발생한 리로드에 필터링 과정을 거치게 만들어 DoS 공격이 가능함(해독과 검증 또는 퍼블릭 키 활성이 설정 되어 있는 경우, 메모리 변형과 재부팅으로 인해 필터링 프로세서가 작동중지(crash)하게 됨)

공격이 성공적일 시 공격자 영구적인 DoS 환경을 조성할 수 있음. 

- 취약 원인 : S/MIME 이메일의 입력값에 대한 부적절한 검증

- 취약 대상 : Cisco AsyncOS Software for ESA 11.1.XD 이하 버전에 Cisco AsyncOS Software를 업데이트 하지 않은 모든 장비 

- 대응 방안 : 최신 버전으로 업데이트

Cisco AsyncOS Software for ESA 9.0 이하 : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 9.0.x      : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 10.0.x     : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 11.0.x     : 11.0.2-044

Cisco AsyncOS Software for ESA 11.1.x     : 11.1.1-037 또는 11.1.2-023

*ESA를 복구하기 위해 수동 조작이 필요할 수 있음

관련 CVE정보

- CVE-2018-15453

- CVSS Score: Base 8.6

- PoC : 현재(2019.1.10 11:30) 없음

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-dos

요약

- 호주의 재난 예보 시스템(EWN, Early Warning Network)을 해킹 함.

- 지난 토요일 9:30pm(현지기준), 해커는 재난 예보 시스템이 해킹 되어 개인 정보가 유출 되었다는 경고성 메시지를 대량 발송.

- 메시지는 이메일, 문자 메시지, 유선 전화 등을 통해 전달되었으며, 탐지 즉시 시스템 작동을 중지 시켜 피해 확산을 막음

- 불법으로 획득한 인증을 통해 해커가 시스템에 로그인하였고, 스팸 문자를 발송한 것으로 예측. 

- 스팸에 사용된 링크를 통한 추가 공격이나 개인정보 유출의 정황은 없음

*재난 예보 시스템: 호주 정부에서 재난 예보 및 교통 안전 경고 메시지를 보낼 시 사용.

영향성

EWN은 해킹과 관련해 피해 사실은 없다고 공식적으로 밝혔으나, 자세한 사건 경위에 대해서는 말을 아끼고 있음

참고자료

출처: https://www.securityweek.com/australias-early-warning-network-hacked

  https://threatpost.com/hack-early-warning-network-spam/140618/