해외 보안 트렌드

요약

- F5 BIG-IP RCE 취약점 CVE-2020-5902 대응 보안 설정 우회 시도 IP 포착 (Jul 7, 2020 @ 12:39:32.000 (UTC))

- IoC: POST /hsqldb 

- 공격 성공시 백도어 Admin 권한을 가진 계정 생성 

  systems:ABcD007

- TOR로 최초 공격 시도  

185.100.86.182

185.220.101.142

- C2 

175.199.197.167 (한국)

- 추가 공격자 IP  : 144.202.50.212 (미국)

출처 : hxxps://github.com/nccgroup/Cyber-Defence/blob/master/Intelligence/CVE-2020-5902/bypass-iocs.md

요약

- 취약점 : Zoom 윈도우 클라이언트의 채팅 기능에 UNC 패스 삽입 취약점이 존재. 해커는 링크를 클릭한 사용자의 윈도우 크리덴셜을 탈취 할 수 있음.

- 취약 원인 : 채팅 시 주고 받는 모든 URL은 하이퍼링크로 변환되어 채팅 멤버 간 클릭으로 해당 페이지를 열수 있게 되어 있는데, 

                 Zoom 클라이언트는 윈도우 네트워킹 UNC(Universal Naming Convention) 패스 또한 클릭 가능 한 링크로 변환 해줌

- 정보 노출 과정: 

① 사용자가 UNC 경로 링크를 클릭

② 윈도우가 파일공유 SMB 프로토콜을 이용해 원격사이트에 접속해 해당 파일을 열고자 시도

③ 윈도우의 초기 설정에 따라 윈도우는 사용자의 로그인 이름, 무료 앱 등을 이용해 쉽게 풀 수 있는 NTLM 패스워드 해시를 보냄

④ 사용자 로그인 이름 및 패스워드 노출 

- 영향성 : 현재 상용되고 있는 그래픽 카드와 CPU의 성능으로는 쉬운 패스워드의 경우 16초 정도 밖에 걸리지 않을 정도로 크리덴셜 탈취가 매우 쉬움.

  해당취약점을 이용해 로컬 컴퓨터에 프로그램 또한 실행할 수 있음 

 (단, 프로그램 실행 전 사용자의 허가 메시지창이 뜨기 때문에 실행 전 사용자가 인지 가능)

- 대응 방안 : UNC 패스의 하이퍼링크로 전환을 제한해야 함.

      현재까지  Zoom에서는 해당 취약점과 관련해 공식적인 답변 없음.

- 임시 방안 : 

① Group Policy Editor(로컬 그룹 정책 편집기) - NTML 크리덴셜을 자동으로 원격 서버에 보내는 설정을 Deny All로 변경 

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → 

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers → Deny All로 설정

컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안옵션 → 네트워크 보안 : NTML 제한: 원격 서버로 나가는 NTML 트래픽 

→ ‘모두 거부’로 설정 

② Windows 10 사용자 경우 레지스트리 설정 : RestrictSendingNTLMTraffic 값 생성 

Group Policy Editor 접근이 불가하여 Windows 레지스트리에 해당 정책 설정이 필요

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]

"RestrictSendingNTLMTraffic"=dword:00000002

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/

요약

- Intel CPU 영역인 Intel SGX(Software Guard Extensions)에 저장된 데이터의 무결성에 영향을 미치는 새로운 공격이 발표됨

▶ Intel SGX : 6세대 이후 Intel CPU에 탑재된 어플리케이션 보안을 향상시켜주는 CPU기반 기술로, enclaves로 어플리케이션을 분리하여 OS에서 

                  실행되는 다른 앱으로부터 데이터를 안전하게 보호함

▶ Enclaves : Intel CPU 메모리의 작은 섹션에서 실행되며, 하드웨어수준(SGX메모리는 나머지 CPU메모리와 분리)과 

                 소프트웨어 수준(SGX데이터는 암호화)으로 격리하는 기능

-   취약점 : Plundervolt로 불리는 이 공격은 CPU가 받는 전압과 주파수의 양을 조정함으로써 SGX 내부의 비트를 변경하여 데이터가 SGX enclave의 

               보안을 벗어난 후에 악용될 수 있는 오류를 유발할 수 있음

               취약점 테스트 당시 연구진들은 전압을 바꾸면서 SGX의 무결성을 손상시킬 수 있었고, 나아가 SGX 내부의 비트를 변조에 성공함 

               (해당 취약점을 이용해 권한 상승 및 정보 유출 공격의 가능성을 제시함)

               (*Plunder : 중요한 무언가를 제거하거나 약탈하다)

-   해당 공격은 루트 또는 관리자 권한이 있는 감염된 호스트의 앱에서 실행해야 하며, 원격으로 악용할 수 없음. 

-   영향 받는 제품 : 

인텔 ® 6 세대, 7 세대, 8 세대, 9 세대 및 10 세대 코어 프로세서

인텔 ® Xeon ® 프로세서 E3 v5 및 v6

인텔 ® Xeon ® 프로세서 E-2100 및 E-2200 제품군

관련 CVE정보

- CVE-2019-11157

패치 정보

-  Intel 社 에서 해당 취약점에 대한 패치 발표

   hxxps://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html

참고자료

출처 : hxxps://www.zdnet.com/article/new-plundervolt-attack-impacts-intel-cpus

hxxps://thehackernews.com/2019/12/intel-sgx-voltage-attack.html

hxxps://threatpost.com/intel-cpus-plundervolt-attack/151006/""hxxps://threatpost.com/intel-cpus-plundervolt-attack/151006

hxxps://plundervolt.com

연구 논문 : hxxps://plundervolt.com/doc/plundervolt.pdf

요약

- Django(장고)

: 파이썬으로 작성된 오픈 소스 웹 애플리케이션 프레임워크로, 모델-뷰-컨트롤러 패턴을 따르고 있다. 현재는 장고 소프트웨어 재단에 의해 관리되고 있음.

  고도의 데이터베이스 기반 웹사이트를 작성하는 데 있어서 수고를 더는 것이 장고의 주된 목표임.

- 취약점 : 수정 권한이 없는 사용자가 저장과 관련된 시그널을 트리거 할 수 있음.

- 취약 원인 : 장고 어드민 사이트는 부모 모델과 관련된 인라인 모델을 함께 보여줌. 사용자는 부모 모델에 대한 “보기(view)” 권한만 가지나, 

                 인라인 모델에 대해서는 “수정(edit)”이 가능한 폼들에 대해 접근 가능함.

                 폼들을 수정하는 것으로 부모 모델을 직접적으로 변경가능하지 않으나, 부모 모델의 저장 전, 후의 시그널을 담당하는 save 함수를 

                  트리거 시켜 권한 상승 취약점 유발.

- 영향 받는 제품 : 

Django master branch

Django 3.0

Django 2.2

Django 2.1

- 대응 방안 :  각 버전 별 패치

관련 CVE정보

- CVE-2019-19118

참고자료

출처 : hxxps://www.djangoproject.com/weblog/2019/dec/02/security-releases/

hxxps://twitter.com/chybeta/status/1201449525367336960

hxxps://twitter.com/jas502n/status/1201536750192975872

hxxps://nvd.nist.gov/vuln/detail/CVE-2019-19118

hxxps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19118

요약

- 취약점 : rConfig 유틸리티에 패치 되지 않은 두 가지 중요한 원격 코드 실행 취약점이 존재

  인증되지 않은 원격 공격자가 대상 서버 및 연결된 네트워크 장치를 손상시킬 수 있음

* rConfig: 

네이티브 PHP로 작성된 무료 오픈 소스 네트워크 장치 구성 관리 유틸리티로 네트웍 엔지니어가 네트웍 장치의 구성 스냅 샷을 만들 수 있음.

스위치, 라우터, 방화벽,로드 밸런서, WAN 옵티 마이저 등 700백만 개 이상의 네트워크 장치를 관리하는 데 사용되고 있음.

-     익스플로잇 시도 예

GET /install/lib/ajaxHandlers/ajaxServerSettingsChk.php?rootUname=%3Becho%20-n%20HellorConfig%7Cmd5sum%20%23

공격대상 서버에 악성 OS명령을 실행하도록 조작된 GET 매개 변수를 사용하여 취약한 파일에 엑세스 함.

- 영향받는 버전 : rConfig 모든 버전

                            현재 rConfig 사에서는 3.9.2 이후 추가적인 업데이트가 진행되지 않는 것으로 확인 됨

관련 CVE정보

- ajaxServerSettingsChk.php의 인증되지 않은 RCE 

  CVE-2019-16662

  CVSS v.3.1 Base Score : 9.8

(* 설치 완료 시 의무적으로 취약 디렉토리를 지우게 되어 있어 해당 취약점에 영향을 받는 경우는 적을 것으로 추정)

- search.crud.php의 인증 된 RCE 

  CVE-2019-16663

  CVSS v3.1 Base Score : 8.8

영향성

패치 업데이트 전 사용 중지 권고

참고자료

출처 : hxxps://thehackernews.com/2019/11/rConfig-network-vulnerability.html

hxxps://www.sudokaikan.com/2019/11/cve-2019-16662-cve-2019-16663.html

hxxps://github.com/rconfig/rconfig/blob/master/www/install/lib/ajaxHandlers/ajaxServerSettingsChk.php

hxxps://github.com/rconfig/rconfig/blob/master/www/lib/crud/search.crud.php

hxxps://isc.sans.edu/diary/rss/25484

요약

- 취약점 : 대다수의 유닉스 운영체제의 주요 명령어로 사용되는 Sudo(Superuser do) 유틸리티의 취약점이 존재

             “sudoers configuration” 파일에 root 권한 접근 제한이 설정되어 있더라도, 악의 적인 사용자 혹은 프로그램은 

              목표 유닉스 시스템에 root 권한으로 임의의 명령어를 실행 할 수 있음

- 선행조건 : 사용자가 임의의 id로 명령어를 실행할 수 있는 Sudo 권한을 가지고 있어야 함.

     sudoers 엔트리의 Runas specification에 ALL 이라고 선언되어 있는 경우.

Ex.) myhost alice = (ALL) /usr/bin/id 

     myhost alice = /user/bin/id                

          →  영향 받지 않음 (유저 alice는 오직 root로 id 명령을 실행할 수 있으며, 다른 유저로 지정 후 명령어를 실행은 불가능함)

- 공격 시나리오 : 

① /etc/sudoers 파일 내 보안 정책 설정이 아래와 같이 설정

Myhost bob = (ALL, !root) /usr/bin/vi            

(유저 bob은 root를 제외한 모든 유저의 이름으로 vi 프로그램을 실행 할 수 있음)

② 공격자는 아래의 명령어를 이용 root 권한으로 vi 프로그램을 실행 할 수 있음

Sudo –u#-1 id –u

         또는

Sudo –u#4294967295 id -u

- 영향받는 버전 : 오늘 발표된 Sudo 1.8.28을 제외한 모든 버전.

- 대응 방안 :  Sudo 1.8.28 버전으로 패치

관련 CVE정보

- CVE-2019-14287

- CVSS 3.0 Base Score : 7.8 (Red Hat 기준)

참고자료

출처 : https://www.sudo.ws/alerts/minus_1_uid.html

        https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

        https://access.redhat.com/security/cve/cve-2019-14287

요약

- 취약점 : string.c의 string_vformat()에 단순한 코딩로 힙 기반 버퍼 오버 플로우 취약점 발생. 

비인가 원격 공격자는 매우 긴 Extended HELO(EHLO) 스트링을 사용해, 메시지를 수신하는 Exim 프로세스를 작동 중지 시킬 수 있음. 또한, 해당 호스트 내 임의의 코드를 실행할 수 있음. 

- 영향성 : 공격 방법이 매우 단순하여 해당 취약점을 악용될 소지가 매우 높음.

- 영향 받는 제품 : Exim 서버 4.92 – 4.92.2 버전 

- 대응 방법 : Exim 서버 4.92.3 버전으로 업그레이드 (패치 이외의 임시 대응 방안 현재 없음)

관련 CVE정보

- CVE-2019-16928

- CVSS 3.0 Base Score: 9.8

- PoC: https://git.exim.org/exim.git/patch/478effbfd9c3cc5a627fc671d4bf94d13670d65f

참고자료

출처 : https://www.tenable.com/blog/cve-2019-16928-critical-buffer-overflow-flaw-in-exim-is-remotely-exploitable

https://threatpost.com/critical-exim-flaw-opens-servers-to-remote-code-execution/148773/

https://www.exim.org/static/doc/security/CVE-2019-16928.txt

https://bugs.exim.org/show_bug.cgi?id=2449

요약

*BMC(Baseboard Management Controller) : IPMI(IntelligentPlatformManagementInterface) 유틸리티의 핵심 하드웨어 칩으로, 관리자들이 서버와 데스크톱에 대한 원격으로 긴급 모니터링하는데 활용.

- BMC의 기능 

① 호스트 시스템의 머더보드에 직접 접근할 수 있으며, 원격 리부팅, 원격 OS 설치, 원격 로그 분석 등의 기능을 제공

② 가상 미디어를 마운트 하여 디스크 이미지를 가상 USBCD-ROM또는 플로피 드라이브로 원격 서버에 연결 가능

- 취약점 : ""USBAnywhere""라고 불리는 이 공격은 BMC컨트롤러의 펌웨어에서 새로 발견된 여러 취약성을 이용하여 무단 원격 공격자가 Supermicro서버에 연결하고 가상으로 악성 USB장치를 마운트 할 수 있음.

원격으로 디스크 이미지에 접근할 경우 아래와 같은 취약성이 발생.

① 가상 미디어가 일반 텍스트 인증 허용

② 가상 미디어는 대부분의 트래픽을 암호화되지 않은 채 전송.

③ 암호화해 전송을 하더라도 약한 암호화 알고리즘을 사용. 

④ 인증 우회를 허용 함 (X10및 X11플랫폼만 해당)

- 영향성 : 

실제 사용자의 인증 패킷을 캡처링 하거나, 기본 자격 증명을 사용 또는 자격 증명 없이, 공격자는 서버에 쉽게 접근할 수 있게 됨.

접근 성공 시, 공격자는 마치 실제 USB 포트에 접근이 가능 환경에서의 행할 수 있는 모든 공격 가능

Ex) 새로운 운영체제 이미지 실행, 키보드와 마우스 사용이 가능해 서버 변환, 악성 코드 삽입, 장비 전체를 무력화 할 수 있음.

접근의 용이성과 간단한 공격 방법으로 뛰어난 기술이 없이도 공격이 가능. 

- 취약버전 : Supermicro x9, x10, x11플랫폼을 사용하는 시스템 

               ※ 자세한 상세버전은 아래 경로 참고 

               hxxps://www.supermicro.com/support/security_Intel-SA.cfm

- 조치 방안 : 최신패치 적용 (hxxps://www.supermicro.com/support/resources/bios_ipmi.php?vendor=1)

                 패치 불가시 TCP 623포트 연결 차단으로 임시조치. 

참고자료

출처 : https://eclypsium.com/2019/09/03/usbanywhere-bmc-vulnerability-opens-servers-to-remote-attack/

        https://threatpost.com/usbanywhere-bugs-supermicro-remote-attack/147899/

        https://thehackernews.com/2019/09/hacking-bmc-server.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

        https://www.supermicro.com/support/security_Intel-SA.cfm?pg=X11#tab