해외 보안 트렌드

<요약>

- Privacy4Cars는 블루투스 프로토콜을 통한 인포테인먼트(information+entertianment) 해킹인 CarsBlues 공격에 

  많은 차들이 취약하다고 경고

- 공격방법 : 평범하게 쉽게 사용되는 하드웨어와 소프트웨어 만을 가지고 몇 분만에 해킹이 가능

- 취약점 : 휴대전화를 차량과 연동을 한 사용자의 개인정보가 노출될 수 있음. 

수천 만대의 세계 자동차들이 이러한 취약점을 가지고 있으면, 그 수는 더 늘어날 것으로 추정.

- 취약점 발견 : 지난 2월 Privacy4Cars 설립자 Andrea Amico가 자사 앱을 개발하는 도중 발견.

발견 즉시 그는 사이버 보안에 관한 연구와 그 정보를 공유하기 위해 자동차업계가 설립한 

정보공유센터 Automotive Information Sharing and Analysis Center(Auto-ISAC)에게 알림.

취약한 차량 회사들에게 휴대폰이 차량에 연결되어 있지 않은 상태에서 차량 주 혹은 운전자가 알지 못하게 

공격자가 연락처, 전화 통화 내역, 문자 내역, 문자 메시지 전문 등을 어떻게 획득 할 수 있는지 공격 방법 공유함.

- 공격방법 등의 기술적인 문제점은 Auto-ISAC과 논의가 모두 끝난 상태. 

- 현재는 운전자와 제조사를 대상으로 개인정보를 차량 시스템에 남겨두는 것이 얼마나 위험한지에 대한 교육을 하는데 중점을 둠 .

- 최소 제조사 2곳이 CarBlues 취약점에 대한 시스템 업데이트를 포함해 새로운 2019년 모델 출시 한 것으로 알려짐

- 대응방안 : 다른 사람이 자신의 차량을 사용할 일이 있을 때에는 반드시 개인정보 들을 인포테인먼트 시스템에서 지울 것. 

* Privacy4Cars : 모바일 앱회사, 차량에서 개인 식별 정보(Personally identifiable information)을 삭제할 수 있도록 앱을 만드는 회사

*현대모비스는 Auto-ISAC의 멤버임

*Privacy4Cars는 데이터 삭제가 가장 효율적인 예방법이라고 하며 자신의 앱을 무료로 배포한다고 함

<영향성>

- 가장 취약한 사람은 본인의 차량이 아닌 차량에 휴대폰을 연동했던 사람

(렌트 후 차량 반납함, 카 쉐어링 서비스 사용, 중고로 차를 판매 등), 자신의 휴대폰을 연동했던 차량을 임시로 다른 사람이 접근 가능하도록 한 사람.(예, 자동차 딜러 서비스 센터, 수리 센터, P2P 교환, 발렛)

- 취약대상에 매우 넓음. 

<참고자료>

출처: https://www.autorentalnews.com/319499/privacy4cars-discovers-bluetooth-enabled-vehicle-hack

https://www.securityweek.com/new-vehicle-hack-exposes-users%E2%80%99-private-data-bluetooth

<요약>

취약점 : 고급 로컬 프로시저 콜(Advanced Local Procedure Call(ALPC))취약점. 

      인증 받은 공격자는 로컬 시스템의 보안 콘텍스트에 임의의 코드를 실행할 있어 

취약한 시스템을 조정하고 인증을 상승시킬 수 있음.

취약원인 : 윈도우가 ALPC를 부적절하게 호출.

취약대상 : Windows 10, 10 Version 1607, 1703, 1709, 1803, 1809, 

   Windows Server 2016, 2019, Version 1709, 1803

영향성 : 공격을 위해서는 인증이 선행되어야 함

<관련 CVE정보>

CVE-2018-8584

CVSS Score : 7.8

PoC : https://sandboxescaper.blogspot.com/2018/10/reversing-alpc-where-are-your-windows.html

<탐지룰 존재유무>

벤더룰 : 현재 없음 (취약점 조사 진행한 회사(WordFence)에서 유료회원 대상으로 방화벽 룰 제공 중)

<참고자료>

출처 :    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8584

https://www.securityweek.com/microsoft-patches-actively-exploited-windows-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

<요약>

Kaspersky Lab는 CVE-2018-8589 관련 APT공격이 활발하다 Microsoft에게 알림.

취약점 : 인증 받은 공격자는 커널 권한으로 임의의 코드를 실행 할 수 있어,

프로그램을 설치하고, 파일을 보거나, 변경하거나, 삭제, 혹은 모든 유저 권한을 가능 새로운 계정 생성이 가능함.

취약원인 :  윈도우가 부적절하게 Win32k.sys를 호출

취약제품 : Windows 7, Windows Server 2008, Windows Server R2

영향성 : 공격을 위해서는 인증이 선행되어야 함. 따라서 다른 취약점과 함께 목표 대상을 공격하는데 사용되며, 

특수하게 제작된 어플리케이션으로 이 취약점을 이용한 공격이 가능함.

<관련 CVE정보>

CVE-2018-8589

CVSS Score : 7.8

PoC현재(2018.11.14 9:00)까지 확인 안됨

<영향성>

공격자는 목표 시스템의 유저레벨 접근이 가능해야 함으로 해당 취약점이 악용될 가능성은 낮음

<참고자료>

출처 :    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8589

https://www.securityweek.com/microsoft-patches-actively-exploited-windows-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

https://tools.cisco.com/security/center/viewAlert.x?alertId=59150&vs_f=Alert%20RSS&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Microsoft%20Windows%20Win32k%20Privilege%20Escalation%20Vulnerability&vs_k=1

<취약점>

신뢰되는 디렉토리의 파일의 경로 실행을 조작하여 윈도우 사용자 계정 컨트롤(Windows User Account Control(UAC)) 우회 가능

MS는 UAC를 보안관련 요소로 여기지 않지만, UAC는 프로그램에 관한 권한 상승이 있을 시 관리자 그룹의 사용자에게 알리는 역할을 함.

Tenable 소속 David Wells은 악성 파일을 실행시킬 때 UAC 알림이 뜨지 않도록 하는데 성공함.

실행 파일을 “C:\Windows\System32”와 같은 신뢰되는 디렉토리에서  실행하기 위해서는 자동 권한 상승’에 필요한 ‘자동권한상승(autoElevate)’ 키가 있어야 함. 

<영향 받는 제품>

Windows 10 Build 17134

<영향성>

공격자의 코드를 제한 없이 권한 상승하는데 악용될 수 있음. 

<관련 CVE정보>

현재(2018.11.13 9:23) 확인 안됨

PoC : https://github.com/tenable/poc/tree/master/UACBypass

<참고자료>

Tenable 공격방법 설명 : https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e

출처 : https://www.securityweek.com/researcher-bypasses-windows-uac-spoofing-trusted-directory

<패치 내용>

초기화되지 않는 스택 메모리 사용 취약점에 대한 패치. 취약점은 vmxnet3 어댑터에 존재.  

이는 게스트가 호스트에서 코드를 실행할 수 있게 함. (정보가 호스트에서 게스트로 유출 될 수 있음)

이 문제점은 vmxnet3가 '사용가능'으로 설정될 시에만 존재.

<영향받는 제품>

• VMware vSphere ESXi (ESXi)

• VMware Workstation Pro / Player (Workstation)

• VMware Fusion Pro, Fusion (Fusion)

<관련 CVE코드>

 CVE-2018-6981, CVE-2018-6982

심각도 : Critical

출처 : https://www.vmware.com/security/advisories/VMSA-2018-0027.html

<취약점>

역직렬화는 인스턴스를 임의의 값으로 정하기 때문에 공격자가 가젯(gadget)이 작동하는 일부 데이터를 컨트롤 할 수 있음. 

또한 공격자는 가젯을 이용하여 두 번째 가젯을 불러올 수 있음 (일련의 가젯들이 이런 식으로 서로 연결되는 것을 ‘가젯 체인’이라고 부름)

<영향받는 제품> 

version 2.0 ~ 2.5

*Ruby의 대안으로 여겨지 JRuby Rubinius 또한 조사 예정

<영향성>

Java와 .NET 역직렬화 문제는 third-party 라이브러리에만 국한 되었다면, Ruby의 경우 언어 자체의 취약점이므로 해커 공격에 대한 취약 정도가 큼.

<대응방안>

프로그램언어 종류와는 상관 없이 직렬화/역직렬화 관련 문제는 취약한 코드와 나쁜 코딩 습관과 연관됨. 

직렬화된 데이터는 반드시 안전한 것이 아니며, 따라서 이를 역직렬화 할 때 주의를 기울여야 함. 

대응법으로는 직렬화하기 전 사용자 인풋을 반드시 검증하고, 역직렬화된 데이터의 특정 함수에 대한 접근 권한을 제한해야 함. 

<관련 CVE코드>

PoC : https://www.elttam.com.au/blog/ruby-deserialization/

출처 : https://www.zdnet.com/article/deserialization-issues-also-affect-ruby-not-just-java-php-and-net/

Cisco Meraki Local Status Page Privilege Escalation Vulnerability

<취약점>

Cisco Meraki MR, MS, MX, Z1, and Z3의 로컬 상태 페이지 기능상의 취약점으로 

인증되지 않은 원격 공격자가 장비의 설정 파일들을 조작할 수 있음

로컬 상태 페이지 요청을 처리할 때 취약점 발생. 공격자는 상승된 권한으로 장비와 대화형 세션(interactive session) 맺기가 가능. 

상승된 권한을 위해 공격자는 장비에서 추가 환경 설정 내용 등을 획득하거나 장비 장악이 가능.

<영향받는 제품>

로컬 상태 페이지 기능이 '사용가능'이 된 경우에 한함. (*기본설정은 '사용가능'임)

Cisco Meraki MR devices 

Cisco Meraki MS devices  

Cisco Meraki MX devices (물리적 장비와 가상 장비 vMX100 포함) 

Cisco Meraki Z1 and Z3 devices

<대응방안> 

소프트웨어 업데이트 존재

MR devices  24 : 24.13 혹은 최신 

25 : 25.11 혹은 최신 

MS devices  9 : 9.37 혹은 최신 

10 : 10.20 혹은 최신 

MX devices / Z1 and Z3 devices  MX 13 : 13.32 혹은 최신

14 : 14.25 혹은 최신 

15 : 15.7 혹은 최신버전으로 패치

<관련 CVE 코드>

CVE-2018-0284

CVSS Score : Base 8.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-meraki

Cisco Unity Express Arbitrary Command Execution Vulnerability

<취약점>

자바 역직렬화 취약점으로 인증되지 않은 원격 공격자가  임의의 쉘 명령을 root유저의 권한으로 실행 할 수 있음

공격자는 악성 직렬화된 자바 객체를 Java Remote Method Invocation (RMI) 서비스에 보내 공격가능. 

<취약원인>

사용자측 제공 컨텐츠의 불안전한 역직렬화

<대응방안>

소프트웨어 업데이트 존재. Cisco Unity Express 9.0.6 혹은 최신버전으로 업데이트 

 *Cisco Unity Express 8.6에 대한 패치 발표 계획이 없음. 

<영향받는 제품>

Cisco Unity Express 9.0.6 미만 버전 

<관련 CVE코드>

CVE-2018-15381

CVSS Score : Base 9.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-cue