해외 보안 트렌드

Cisco Stealthwatch Management Console Authentication Bypass Vulnerability

<취약점>

인증되지 않은 공격자가 인증우회와 관리자 권한으로 임의의 행동을 할 수 있음.

공격자는 특수하게 제작한 HTTP 리쿼스트를 목표 어플리케이션에 보내 공격하여 인증되지 않은 접근이 가능하고 

SMC에서 인증 상승이 가능함. 

<취약원인>

불안전한 시스템 설정

<영향받는 제품>

Cisco Stealthwatch Enterprise releases 6.10.2 이하 버전

<대응방안>

소프트웨어 업데이트 존재 

 6.7버전 : 6.7.5

 6.8버전 : 6.8.4

 6.9버전 : 6.9.5

 6.10버전 : 6.10.3 으로 패치

<관련 CVE코드>

CVE-2018-15394

CVSS Score : Base 9.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-smc-auth-bypass

<취약점>

Commons FileUpload library(Struts 2의 디폴트 파일 다운로드 매커니즘)이 원격 코드 실행 취약점 존재

Commons FileUpload library에 역직렬화될때 수정이 가능한 자바 객체 있음. 이 객체는 임의의장소에 파일을 쓰거나 복사할 수 있음.

객체는 단독으로 사용이 가능하고 ysoserial과 통합하여 싱글 역직열화 호출에 바이너리를 업로드하고 실행할 수 있음

공격자는 이 취약점을 이용 공개적으로 접근 가능한 사이트에 DoS 공격을 할 수 있음

2016년 발견되어 2017년 6월에 Commons FileUpload version 1.3.3로 패치 되었음

<취약대상>

Apache Struts 2.5.x 미만 버전. 특히 2.3.x 버전

<관련 CVE코드>

CVE-2016-1000031

PoC : https://www.tenable.com/security/research/tra-2016-12

<대응 방안>

Commons FileUpload version 1.3.3 버전으로 패치

특히 2.3.36 과 그 이전버전 : 수동으로 WEB-INF/lib의 common-fileupload JAR 파일을 패치된 버전으로 교체해야함

출처 : https://www.securityweek.com/apache-struts-users-told-update-vulnerable-component

   https://threatpost.com/apache-struts-warns-users-of-two-year-old-vulnerability/138820/

   https://isc.sans.edu/forums/diary/Struts+23+Vulnerable+to+Two+Year+old+File+Upload+Flaw/24278/

   https://mail-archives.apache.org/mod_mbox/www-announce/201811.mbox/browser

<발견자>

Billy Bob Brumley, Cesar Pereida Garcia, Sohaib ul Hassan, Nicola Tuveri (Tampere University of Technology in Finland), and Alejandro Cabrera Aldaya (Universidad Tecnologica de la Habana CUJAE in Cuba

<취약대상>

H/W

동시 멀티스레딩 구조(Simultaneous Multithreading(SMT) architecture)를 사용하는 모든 인텔 CPU(ex, Intel Skylake, Kaby Lake)

* AMD와 같은 다른 제조사 프로세서도 취약점이 존재할 것으로 예상

하드웨어 문제로 메모리 서브시스템 또는 캐싱과는 아무런 관련이 없음. 

하지만 아주 적은 수준이라도 제어 흐름에 의존하는 소프트웨어들은 영향을 받음.

S/W : openssl  1.1.0h 이하버전

Red Hat Enterprise Linux 7      openssl  

SUSE Linux Enterprise Desktop 12 SP4    openssl-1_1 

SUSE Linux Enterprise High Performance Computing 12  openssl-1_1 

SUSE Linux Enterprise Module for Basesystem 15 GA   openssl-1_1 

SUSE Linux Enterprise SDK 12 SP4     openssl-1_1 

SUSE Linux Enterprise Server 12 SP4     openssl-1_1 

SUSE Linux Enterprise Server for SAP Applications 12 SP4  openssl-1_1 

<취약점>

공격자는 암호와 암호키 같은 민감한 보안 데이터를 메모리와 프로세서로부터 획득할 수 있음. 취약점은 타이밍 불일치를 통한 정보 공개로 분류 할 수 있음 (공격이 성공하기 위해서는 악성 프로세서가 목표 프로세서와 같은 물리적 코어에서 실행되고 있어야 함)

<취약원인>

SMT에 실행 엔진을 공유함으로써 발생

*SMT 기술은 다수의 스레드가 CPU코어에서 동시다발적으로 실행 가능할 수 있게 해줌. 

하지만 이 같은 특성 때문에, 악성코드는 같은 코어의 다른 스레드를 스누핑 가능함. 대게 side-channel 공격에 대한 보안이 되어있는 암호화된 어플리케이션이라도 스누핑이 가능.

<발견경위>

동일한 물리적 코어에서 병렬로 실행되는 프로세서의 정보를 추출하기 위한 timing side channel 구성 목적의 포트 경합을 감지함.

취약점 공격을 통해 연구진은 OpenSSL P-384 프라이빗 키를 TLS 서버로부터 훔칠 수 있었음.

<영향성>

생성된 키를 훔칠 수 있고 그 키로 암호화된 대화 내용을 해독할 수 있음. 악성코드 공격자가 기기에 상주하기 때문에, 

<관련 CVE코드>

CVE-2018-5407

CVSS3 Base Score : 4.8  

PoC : https://github.com/bbbrumley/portsmash

<대응방안> 

BIOS에서 하이퍼스레딩(SMT/Hyper-Threading) 옵션을 불가능으로 할 것.

OpenSSL : OpenSSL 1.1.1로 업그레이드 (패치: OpenSSL 1.1.0i 이상버전으로 패치)

포트스메시에 가장 취약한 것은 장비의 또한 장비의 키와 인증서를 자주 업데이트하는 것이 필요

*AMD는 자사 프로세서에 취약점이 해당되는지 조사중

OpenBSD는 지난 6월 인텔의 하이퍼스레딩 기능을 불가능하게 하여 사용자가 스펙터 공격(Spectre-class attacks)과 향후 타이밍 공격(timing attacks)에 노출되지 않도록 함.

출처 : https://www.securityweek.com/portsmash-new-side-channel-vulnerability-leaks-sensitive-data-intel-chips-CVE-2018-5407

   https://thehackernews.com/2018/11/portsmash-intel-vulnerability.html

<발견자>

스페인 보안 연구원 Jose Rodriguez

<취약점>

잠겨진 아이폰의 연락처 내용을 누구나 볼 수 있음. 

<우회방법>

https://www.youtube.com/watch?v=ojigFgwrtKs

1) 다른 iPhone을 이용해 테스트하고자 하는 iPhone에 전화 걸기

2) 전화가 연결이 됨과 동시에 같은 화면에서 '페이스타임'을 시작

3) 오른쪽 아래 메뉴에서 '대화자 추가' 선택

4) 플러스 아이콘(+)을 선택하면 테스트iPhone의 모든 연락처에 접근이 가능하며 

각각의 연락처 정보에 3D터치를 하면 자세한 정보까지도 열람이 가능

*iPhone간에서만 가능(공격/테스트 모바일 모두 iPhone 이어야함)

<취약대상>

:iPhone X,XS를 포함한 최신 iOS12.1버전 사용 모든 iPhone

<대응방안>

현재(2018.11.05) 없음

출처 : http://www.ehackingnews.com/2018/11/new-iphone-passcode-bypass-discovered.html?utm_source=dlvr.it&utm_medium=twitter

   https://www.hackread.com/ios-12-1-passcode-bypass-hack-discovered/

Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software Denial of Service Vulnerability

CVE-2018-15454

<취약점> 

the Session Initiation Protocol (SIP) 점검 엔진에 취약점 존재. 

허가되지 않은 원격 원격자가 CPU 과부하를 일으키거나 리로드를 할 수 있어 DoS 공격이 가능. 

공격자는 이와 같은 공격을 위해 디자인한 많은 SIP 요청을 취약장비에 보내 공격이 가능

<취약원인>

부적절한 SIP 트래픽 처리

<취약대상>

SIP 점검이 가능으로 되어 있고 다음의 소프트웨어가 장비에서 사용 될 시 취약점 발생 (SIP 점검 기능은 ASA,FTD 소프트웨어 디폴트로 가능함)

S/W:Cisco Adaptive Security Appliance (ASA) Software 9.4 ~ 이후 버전, Cisco Firepower Threat Defense (FTD)6.0 ~ 이 후 버전 

H/W: 

3000 Series Industrial Security Appliance (ISA)

ASA 5500-X Series Next-Generation Firewalls

ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

Adaptive Security Virtual Appliance (ASAv)

Firepower 2100 Series Security Appliance

Firepower 4100 Series Security Appliance

Firepower 9300 ASA Security Module

FTD Virtual (FTDv)

<관련 CVE코드>

CVE-2018-15454

CVSS Score: Base 8.6

<대응방안>

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos

1) 공격 호스트 막기

2) SIP 점검을 불가능으로 변경

3) Sent-by Adress 0.0.0.0 를 필터링하기

패치: 취약점에 대한 소프트웨어 업데이트는 현재(2018.11.01) 없음

<피해여부 확인>

show processes cpu-usage non-zero sorted  명령어를 이용 CPU를 과다하게 사용하고 있는 불완전 SIP 커넥션을 확인

혹은 공격으로 인한 크래싱으로 장비를 재부팅할 시 show crashinfo 를 사용하여 모르는 DATAPATH 가 있는지 확인을 하여 피해여부를 확인

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos

Apache Tomcat JK (mod_jk) Connector path traversal

<취약점>

URI-worker 맵과 일치시키기 전에 요청된 경로를 정규화하는 Apache Web Server (httpd) 특정 코드 일부에 취약점 존재.

톰캣이 지원하는 URL의 하위 집합이 httpd를 통해 공개 된 경우, 클라이언트가 역방향 프록시를 통해 어플리케이션에 액세스하지 못하도록 

특수하게 구성한 요청이 역방향 프록시을 통해 어플리케이션 기능을 노출할 수 있음 

또한 일부 환경 설정으로 httpd에서 액세스 제어를 우회하는 것이 가능함. 이 취약점은 CVE-2018-1323과 중복된 부분이있지만, 동일한 것은 아님

<관련 CVE코드>

CVE-2018-11759 

심각도: Important

cf) CVE-2018-1323: 아파치 톰캣 JK 커넥터 경로조작(https://nvd.nist.gov/vuln/detail/CVE-2018-1323)

<영향받는 제품>

Apache Tomcat JK mod_jk Connector 1.2.0 ~ 1.2.44

<대응방안>

Apache Tomcat JK ISAPI Connector 1.2.46 혹은 이후 버전으로 업그레이드

혹은 신뢰하는 사용자에게만 접근을 제한하는 대처 수단 사용(예, 원격 주소 필터) 

출처: http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%3c16a616e5-5245-f26a-a5a4-752b2826703@apache.org%3e

  http://tomcat.apache.org/security-jk.html

* Universal Windows Platform(UWP)

환경설정 파일에 권한에 대해 설정을 하면 특정 API, 사진, 음악과 같은 파일, 카메라, 마이크와 같은 장치에 접근이 가능함

디폴트 설정은 UWP 앱이 유저의 시스템에 설치되어 있는 디렉토리와 앱이 데이터를 저장하는 폴더에만 접근이 가능

시스템의 다른 파일들에 접근하기 위해서는 환경설정에서 권한을 선언하는 등의 다양한 방법이 있는데 그 중 하나가 broadFileSystemAccess임.

broadFileSystemAccess는 앱이 실행되는 같은 레벨의 파일 시스템에 접근할 수 있게 허용함

<취약점>

'broadFileSystemAccess' API 존재.'broadFileSystemAccess' API 사용자 허가 메시지 창이 뜨지 않아 

Universal Windows Platform(UWP) 앱 개발자가 사용자의 OneDrive에 저장돼 있는 문서, 사진, 다운로드, 파일에 접근 가능. 

최초 UWP 앱 실행 시 사용자에게 사용 권한을 승인 혹은 거절할 것인지 묻는 메시지가 뜨며, 승인을 허락할 시 사용 목적을 기재해야 하는 등 제한적으로 사용됨.

접근 허용 설정은 환경설정>개인정보>파일시스템에서 설정 가능

<발견경위>

윈도우앱 개발자 Sébastien Lachance는  broadFileSystemAccess 허가 기능을 사용하는 어플리케이션이 Windows10 10월 패치를 실시한 후 

크래싱 되는 것을 보고 발견하였으며 10월 패치 이전의 Windows10(1809 이전 버전)은 버그로 인해 위와 같은 접근허용 수락/거절 메시지를 표시하지 않는다고 밝힘. 

<영향성>

사용자가 Windows Store에서 다운로드 한 민감한 정보가 노출됨(-> 앱이 사용자의 허가 없이 모든 파일 시스템에 접근이 가능함)

 10월 패치 후: broadFileSystemAccess 기능이 디폴트로 'OFF'되어 있기 때문에 broadFileSystemAccess API사용 개발자는 크래싱을 피하기 위해서 모든 UWP앱의 업데이트가 필요함

<대응방안>

10월정기 업데이트를 실시한 사용자는 안전함. 

현재 Windows 10월 정기패치는 무작위 파일 삭제 버그로 인해 사용이 불가한 상태로, 10월 정기업데이트를 실시하지 않은 사용자는 

수동으로 환경설정>개인정보>파일시스템에서 broadFileSystemAccess 기능을 끌 것을 권고

출처 : https://thehackernews.com/2018/10/windows10-uwp-apps.html

   https://www.zdnet.com/article/windows-10-uwp-bug-could-give-malicious-devs-access-to-all-your-files/

*Xorg X server: 하드웨어와 OS 플랫폼 등 광범위하게 그래픽 환경을 제공하는 X11(디스플레이 서버)시스템제공 오픈소스

그래픽 디스플레이 관리를 위해 클라이언트와 유저 어플리케이션 사이에 중개자 역할을 함 

<발견자>

인도 보안 연구원 Narendra Shinde가 OpenBSD와 거의 대부분의 리눅스 배포판에 영향을 미치는 X.Org Server 취약점을 발견

<취약점>

권한이 낮은 사용자가 악성코드를 실행하고 루트계정 사용자 파일을 포함한 모든 파일을 덮어쓰기 할 수 있음.

<영향성>

modulepath: Xorg 서버 모듈 서치를 위한 디렉토리 패스 설정

logfile: Xorg서버에 디폴트 로그파일(/var/log/Xorg.n.log)을 사용하는 대신 사용할 새로운 로그 파일 설정

Xorg 서버가 상승된 권한으로 실행될 시, -modulepath는 X서버에 로드 될 모듈에 대해 안전하지 않은 경로를 지정하는데 사용돼 프로세스에 권한 없는 코드를 실행 할 수 있게 함.

서버를 시작할 때 -modulepath와 -logfile의 권한이 없는 사용자가 물리적인 콘솔을 통해 시스템에 로그인 할 수 있도록 권한 상승을 가능하게 하며 루트 권한으로 임의의 코드를 실행할 수 있게 함.

<영향받는 제품>

xorg-x11-server before 1.20.3 이전 버전

데비안, 우분트, CentOS, 레드헷, 페도라, OpenBSD, SUSE/openSUSE 배포판 해당됨 

<관련 CVE코드>

CVE-2018-14665

CVSS 3.0 Score : 

Red Hat Customer Portal CVSS3 Base Score : 6.6  

SusSE CVSS v3 Base Score: 8.4 

PoC: 

https://twitter.com/hackerfantastic/status/1055517801224396800

https://hacker.house/releasez/expl0itz/openbsd-0day-cve-2018-14665.sh

https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html

https://github.com/jas502n/CVE-2018-14665

https://gitlab.freedesktop.org/xorg/xserver/commit/8a59e3b7dbb30532a7c3769c555e00d7c4301170

<대응방안>

패치 : X.Org Server version 1.20.3 패치완료

데비안, 우분트, Cen0S, 레드헷, 페도라, OpenBSD는 취약점에 따른 보안 권고를 발표

데비안 : https://security-tracker.debian.org/tracker/CVE-2018-14665

우분트 : https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14665.html

레드헷 : https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14665

SUSE/openSUSE : https://www.suse.com/security/cve/CVE-2018-14665.html 

OpenBSD : https://ftp.openbsd.org/pub/OpenBSD/patches/6.4/common/001_xserver.patch.sig

출처: https://thehackernews.com/2018/10/privilege-escalation-linux.html