해외 보안 트렌드

Cisco Stealthwatch Management Console Authentication Bypass Vulnerability

<취약점>

인증되지 않은 공격자가 인증우회와 관리자 권한으로 임의의 행동을 할 수 있음.

공격자는 특수하게 제작한 HTTP 리쿼스트를 목표 어플리케이션에 보내 공격하여 인증되지 않은 접근이 가능하고 

SMC에서 인증 상승이 가능함. 

<취약원인>

불안전한 시스템 설정

<영향받는 제품>

Cisco Stealthwatch Enterprise releases 6.10.2 이하 버전

<대응방안>

소프트웨어 업데이트 존재 

 6.7버전 : 6.7.5

 6.8버전 : 6.8.4

 6.9버전 : 6.9.5

 6.10버전 : 6.10.3 으로 패치

<관련 CVE코드>

CVE-2018-15394

CVSS Score : Base 9.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-smc-auth-bypass

<사건요약>

Chris C. Demchak and Yuval Shavitt는 China Telecom이 중국을 통하는 통신을 과거 수 차례 하이재킹했다고 밝히는 논문 발표

China Telecom : 중구에서 가장 큰 통신 회사. 현재 10 points-of-presence(PoPs)을 가짐(8: 미국, 2:캐나다) 

2010년  15%의 전세계 인터넷 prefix를 하이재킹해 유명한 웹사이트들이 18분동안 중국을 거쳐 리라우팅이 되도록 함

이는 미국 정부 사이트("".gov"", "".mil"")에도 영향을 미침

China Telecom 다양한 방법으로 트래픽 하이재킹에 관여하고 반복적인 IP 하이재킹 공격을 시도.

이를 정상적인 BGP 행동이라고 치부할 수 있지만 '길어진 라우트'와 '비정상적인 지속시간'을 볼 때 악의적인 목적의 공격이었다고 볼 수 있음.

오라클의 인터넷 분석 디렉터 Doug Madory는 해당 ISP가 트래픽 하이재킹을 오랫동안 해왔다고 입증했으나 그 목적은 불분명하다고 함.

*오라클은 2016년 웹트래픽 관리 회사인 Dyn을 인수해 웹 트래픽에 대해 전문성을 가짐.

*BGP 하이재킹(또는 prefix, route 하이재킹이라고도 불림)은 미국에서 특정 결제 프로세싱을 공격하기 위해 최근 몇 년간 사용되고 있다. 

논문 : China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking

   https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca

출처 : https://www.securityweek.com/china-telecom-constantly-misdirects-internet-traffic?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

<취약점>

Commons FileUpload library(Struts 2의 디폴트 파일 다운로드 매커니즘)이 원격 코드 실행 취약점 존재

Commons FileUpload library에 역직렬화될때 수정이 가능한 자바 객체 있음. 이 객체는 임의의장소에 파일을 쓰거나 복사할 수 있음.

객체는 단독으로 사용이 가능하고 ysoserial과 통합하여 싱글 역직열화 호출에 바이너리를 업로드하고 실행할 수 있음

공격자는 이 취약점을 이용 공개적으로 접근 가능한 사이트에 DoS 공격을 할 수 있음

2016년 발견되어 2017년 6월에 Commons FileUpload version 1.3.3로 패치 되었음

<취약대상>

Apache Struts 2.5.x 미만 버전. 특히 2.3.x 버전

<관련 CVE코드>

CVE-2016-1000031

PoC : https://www.tenable.com/security/research/tra-2016-12

<대응 방안>

Commons FileUpload version 1.3.3 버전으로 패치

특히 2.3.36 과 그 이전버전 : 수동으로 WEB-INF/lib의 common-fileupload JAR 파일을 패치된 버전으로 교체해야함

출처 : https://www.securityweek.com/apache-struts-users-told-update-vulnerable-component

   https://threatpost.com/apache-struts-warns-users-of-two-year-old-vulnerability/138820/

   https://isc.sans.edu/forums/diary/Struts+23+Vulnerable+to+Two+Year+old+File+Upload+Flaw/24278/

   https://mail-archives.apache.org/mod_mbox/www-announce/201811.mbox/browser

<사건 요약>

파키스탄 사이버범죄 연방조사국(Officials of cybercrime wing of the Federal Investigation Agency (FIA))은 

지난 10월27일, 28일 사이버 공격으로 인해 12개 은행의 8000명의 고객 계좌에서 돈이 빠져 나갔다고 발표함

해외 결제 카드를 통해 Rs 2.6 million 루피(약 4천만원)를 도난당했으며, 27일 유사 해외 송금건에 대해 차단하였음

전직 칸 연구소 수석 과학자는 자신의 계좌에서 Rs 3 million 루피(약 4천 6백만원)이 빠져나갔다고 신고함.

  * 파키스탄의 생활비는 한국과 비교해 72.18%가 낮음

<영향성>

대부분의 파키스탄 은행이 공격에 피해를 당함.

아직 피해규모를 정확히 파악인 안된 상태. 

현재 개인이 피해사실을 신고하지 않아 피해규모가 얼마나 되는지 알기 어려움.

공격을 당한 은행들에대해 파키스탄정부는 해외 송금을 일시적으로 중단하도록 지시.

출처 : https://www.financialexpress.com/world-news/pakistan-thousands-of-bank-accounts-compromised-money-stolen-due-to-hacking/1375115/

<조사 기관>

Cisco Talos 발표

<공격내용> 

비공식 iOS와 안드로이드 앱으로 인스타그램과 텔레그램 라이크, 댓글, 팔로워 등을 늘릴 수 있도록 계정을 많이 노출시켜 준다면서 현혹

사용자가 텔레그램 클론을 설치하도록 유도함. (클론이 설치된 휴대전화의 모든 연락처와 메시지에 접근이 가능함)

가짜 인스타그램 앱은 풀 세션 데이터를 해커에게 보냄(해커는 계정의 모든 컨트롤이 가능해 짐)

위의 악성 앱들은 데이터를 호스트 서버로 전송하고 이란에 위치한 IP주소로 감염된 장비들을 컨트롤 함.

1)그레이웨어 활용: 사용자의 인스타그램 비밀번호 없이, 공격자는 유저세션을 가로챌 수 있음 (텔레그램의 경우 연락처와 메시지에 접근가능)

2)가짜 로그인 페이지 활용 : ""Charming Kitten"" 그룹이 오랫동안 사용하던 방식

공격자가  장치의 BGP 프로토콜을 하이재킹하여 트래픽을 리다이렉하는 방식 

(이는 인터넷서비스제공자(ISP)의 협조가 필요한 공격)

<공격대상>

이란을 대상으로 한 공격이나, 이에 대한 연관관계를 찾지 못함. 

공격은 이란, 러시아와 같은 텔레그램과 이와 유사한 앱을 차단한 국가에 위협으로 다가옴

*현재 이란에서는 이란 정부의 사용 금지를 피해, 다양한 텔레그램 클론이 다운받아지고 있음

출처 : https://www.securityweek.com/hackers-target-telegram-instagram-users-iran

<발견자>

Billy Bob Brumley, Cesar Pereida Garcia, Sohaib ul Hassan, Nicola Tuveri (Tampere University of Technology in Finland), and Alejandro Cabrera Aldaya (Universidad Tecnologica de la Habana CUJAE in Cuba

<취약대상>

H/W

동시 멀티스레딩 구조(Simultaneous Multithreading(SMT) architecture)를 사용하는 모든 인텔 CPU(ex, Intel Skylake, Kaby Lake)

* AMD와 같은 다른 제조사 프로세서도 취약점이 존재할 것으로 예상

하드웨어 문제로 메모리 서브시스템 또는 캐싱과는 아무런 관련이 없음. 

하지만 아주 적은 수준이라도 제어 흐름에 의존하는 소프트웨어들은 영향을 받음.

S/W : openssl  1.1.0h 이하버전

Red Hat Enterprise Linux 7      openssl  

SUSE Linux Enterprise Desktop 12 SP4    openssl-1_1 

SUSE Linux Enterprise High Performance Computing 12  openssl-1_1 

SUSE Linux Enterprise Module for Basesystem 15 GA   openssl-1_1 

SUSE Linux Enterprise SDK 12 SP4     openssl-1_1 

SUSE Linux Enterprise Server 12 SP4     openssl-1_1 

SUSE Linux Enterprise Server for SAP Applications 12 SP4  openssl-1_1 

<취약점>

공격자는 암호와 암호키 같은 민감한 보안 데이터를 메모리와 프로세서로부터 획득할 수 있음. 취약점은 타이밍 불일치를 통한 정보 공개로 분류 할 수 있음 (공격이 성공하기 위해서는 악성 프로세서가 목표 프로세서와 같은 물리적 코어에서 실행되고 있어야 함)

<취약원인>

SMT에 실행 엔진을 공유함으로써 발생

*SMT 기술은 다수의 스레드가 CPU코어에서 동시다발적으로 실행 가능할 수 있게 해줌. 

하지만 이 같은 특성 때문에, 악성코드는 같은 코어의 다른 스레드를 스누핑 가능함. 대게 side-channel 공격에 대한 보안이 되어있는 암호화된 어플리케이션이라도 스누핑이 가능.

<발견경위>

동일한 물리적 코어에서 병렬로 실행되는 프로세서의 정보를 추출하기 위한 timing side channel 구성 목적의 포트 경합을 감지함.

취약점 공격을 통해 연구진은 OpenSSL P-384 프라이빗 키를 TLS 서버로부터 훔칠 수 있었음.

<영향성>

생성된 키를 훔칠 수 있고 그 키로 암호화된 대화 내용을 해독할 수 있음. 악성코드 공격자가 기기에 상주하기 때문에, 

<관련 CVE코드>

CVE-2018-5407

CVSS3 Base Score : 4.8  

PoC : https://github.com/bbbrumley/portsmash

<대응방안> 

BIOS에서 하이퍼스레딩(SMT/Hyper-Threading) 옵션을 불가능으로 할 것.

OpenSSL : OpenSSL 1.1.1로 업그레이드 (패치: OpenSSL 1.1.0i 이상버전으로 패치)

포트스메시에 가장 취약한 것은 장비의 또한 장비의 키와 인증서를 자주 업데이트하는 것이 필요

*AMD는 자사 프로세서에 취약점이 해당되는지 조사중

OpenBSD는 지난 6월 인텔의 하이퍼스레딩 기능을 불가능하게 하여 사용자가 스펙터 공격(Spectre-class attacks)과 향후 타이밍 공격(timing attacks)에 노출되지 않도록 함.

출처 : https://www.securityweek.com/portsmash-new-side-channel-vulnerability-leaks-sensitive-data-intel-chips-CVE-2018-5407

   https://thehackernews.com/2018/11/portsmash-intel-vulnerability.html

<발견자>

스페인 보안 연구원 Jose Rodriguez

<취약점>

잠겨진 아이폰의 연락처 내용을 누구나 볼 수 있음. 

<우회방법>

https://www.youtube.com/watch?v=ojigFgwrtKs

1) 다른 iPhone을 이용해 테스트하고자 하는 iPhone에 전화 걸기

2) 전화가 연결이 됨과 동시에 같은 화면에서 '페이스타임'을 시작

3) 오른쪽 아래 메뉴에서 '대화자 추가' 선택

4) 플러스 아이콘(+)을 선택하면 테스트iPhone의 모든 연락처에 접근이 가능하며 

각각의 연락처 정보에 3D터치를 하면 자세한 정보까지도 열람이 가능

*iPhone간에서만 가능(공격/테스트 모바일 모두 iPhone 이어야함)

<취약대상>

:iPhone X,XS를 포함한 최신 iOS12.1버전 사용 모든 iPhone

<대응방안>

현재(2018.11.05) 없음

출처 : http://www.ehackingnews.com/2018/11/new-iphone-passcode-bypass-discovered.html?utm_source=dlvr.it&utm_medium=twitter

   https://www.hackread.com/ios-12-1-passcode-bypass-hack-discovered/

BBC기사 원문: https://www.bbc.com/news/technology-46065796 

<BBC 보도내용>

해커 81,000 명의 사용자 메시지 대화 내용을 판매 중 

1억2000만명의 사용자 정보에 대한 접근이 가능하다고 주장 

(View As 기능 관련 페이스북 5000만명 정보유출에 대해 페이스북은 공식적으로 2900만명의 정보만 유출되었다는 주장과 상충)

피해계정 : 대부분이 러시아, 우크라이나 계정/일부: 브라질, 미국, 영국 계정

판매내용 : 계정 하나당 10 cent(약 112원)에 계정 정보, 개인 대화내역 등을 판매

판매데이터 : 연휴에 찍은 사진, 비디오, 개인 메시지 (예: 디페쉬 모드 콘서트(Depeche Mode)에 대해 나눈 대화, 

사위에 대한 불만을 토로하는 대화, 연인 간의 대화 등), 이메일 주소, 다른 민감한 정보

<판매 글에 게재된 판매 데이터 샘플 본 사진>

발견경위 : 9월 인터넷 포럼에서 FBSaler라는 이름으로 자료를 판매하는 것을 포착. BBC 러시아는 피해자중 5명과 연락해 그들의 개인 메시지가 유출된 것을 확인.

웹사이트 주소 및 IP 주소 정보 : 유출 데이터를 올려놓은 웹사이트는 러시아 상트페테르부르크(St. Petersburg)에 위치.

 IP 주소는 Cybercrime Tracker 서비스에 탐지된 것으로 나타남. 

탐지 이벤트는 LokiBot Trojan(공격자가 사용자의 패스워드에 대한 접근 권한이 가능함)

<책임소재> 

페이스북 입장 : 

보안이 뚫린 적이 없음. 따라서 해커는 브라우저 익스텐션을 통해 데이터를 획득했을 가능성이 있음.

페이스북 조사에 따르면 몰래 사용자의 정보와 대화내용을 해커에게 전달하는 등 

사용자의 활동을 감시하는 익스텐션 존재함 (익스텐션 이름은 밝히지 않음)

익스텐션의 악성 유무 체크에 실패함에 따른 브라우저 개발자에게 일부 책임이 있음. 

<BBC, 해커간 인터뷰>

BBC는 200만명의 계정 정보를 구매하고 싶다고 접근하여 위 정보 유출이 과거 Cambridge Analytica 관련 스캔들과 연관이 있냐고 질의함.

해커 답변: 관련 없음. 러시아 주정부 또는 인터넷 리서치 에이전시(크렘린과 관련된 해커 그룹)과도 연관이 없다고 밝힘.

BBC에서 기사를 다룸과 동시에 해당 유저는 판매를 중지하고 포스팅을 삭제함

페이스북 개인 메시지 유출에 대한 의심이 있을 시 : 사용자는 반드시 익스텐션>개인정보 섹션을 확인, 익스텐션에 대한 리뷰를 확인해 악성행동 유무 관찰,

<영향성> 

불필요한 익스텐션은 삭제 권고

출처 : http://www.ehackingnews.com/2018/11/personal-messages-of-81000-facebook.html?utm_source=dlvr.it&utm_medium=twitter

        https://www.hackread.com/hackers-selling-private-messages-hacked-facebook-accounts/