해외 보안 트렌드

요약

- 취약점 : 낮은 권한으로 로그인한 원격 공격자는 평문 비밀번호를 포함한 관리자 정보를 획득 할 수 있음 

- 선행 조건 : Role Analyst와 같은 낮은 권한으로 로그인 필요

- 영향 받는 제품 : 

RSA Security Analytics 버전 10 : 10.6.6.0 이하 제품

RSA NetWitness Platform 버전 11 : 11.2.1.0 이하 제품 

- 대응방안 : 

RSA Security Analytics 버전 10 : 10.6.6.1 로 패치 

RSA NetWitness Platform 버전 11 : 11.2.1.1 로 패치 

관련 CVE정보

- CVE-2019-3724

- CVSS Base Score : 6.5

- PoC : https://seclists.org/fulldisclosure/2019/May/27

(1) Role Analyst와 같은 낮은 권한으로 로그인 후 URL(https://[host]/admin/system/whois/properties) 을 호출해 관리자 리소스에 접근 

(2) 위 URL에 접근하게 되면, 서버는 평문 비밀번호를 포함한 아래의 HTTP 응답값 반환 

HTTP/1.1 200 OK

Server: nginx

Date: [snip]

Content-Type: application/json;charset=UTF-8

Connection: close

X-Frame-Options: SAMEORIGIN

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: Thu, 01 Jan 1970 00:00:00 GMT

X-Content-Type-Options: nosniff

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

X-XSS-Protection: 1; mode=block

X-Frame-Options: SAMEORIGIN

Set-Cookie: [snip]

Content-Length: 795

{""success"":true,""data"":{""queryUrl"":""https://[snip]"",""authUrl"":""https://[snip]"",""userId"":""[snip]"",""pw"":""[snip]"",""allowedRequests"":100,""allowedRequestsInterval"":60,""queueMaxSize"":100000,""cacheMaxSize"":50000,""refreshInterval"":30,""waitForHttpRequests"":true,""settings"":{""query-url"":""https://[snip]"",""queue-max-size"":100000,""password"":""[snip]"",""allowed-requests"":100,""auth-url"":""https://[snip]"",""user-id"":""[snip]"",""refresh-interval-seconds"":{""seconds"":2592000,""milliSeconds"":2592000000},""cache-max-size"":50000,""wait-for-http-request"":true,""allowed-requests-interval-seconds"":{""seconds"":60,""milliSeconds"":60000}}}}

영향성

해당 버전 사용 그룹사는 신속한 패치 필요 

참고자료

출처 : https://community.rsa.com/docs/DOC-104202

  https://www.securityfocus.com/bid/108357

요약

- Cisco IOS XE : Cisco 사의 공통 OS로 유/무선, 통합, 코어, WAN 제품에 주로 사용 됨.

- 취약점 : Cisco IOS XE 소프트웨어의 웹 기반 유저인터페이스(Web UI)에 취약점으로 인해, 

             비인가 원격 접속자가 root 권한으로 내부 리눅스 쉘에서 명령어 실행이 가능함.

             유효한 관리자 계정에 대한 접근이 가능한 공격자가 웹 UI의 양식에 조작된 입력 매개변수를 제공한 후, 해당 양식을 제출하여 공격. 

- 취약원인 : 사용자 제공의 입력 값에 대한 부적절한 검정으로 인해 발생.  

- 선행조건 : 유효한 관리자 계정에 대한 접근이 가능해야 함.

- 영향 받는 제품 : Cisco IOS XE 소프트웨어를 사용하고 HTTP 서버 기능이 ‘사용가능’으로 설정돼 있는 경우.

- 대응방안 : 최신 버전으로 업데이트

관련 CVE정보

- CVE-2019-1862

- CVSS Base Score: 7.2

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

        https://threatpost.com/cisco-bugs-unpatched-millions-devices/144692/

요약

- Thrangrycat 공격 : 

Red Balloon Security 팀은 Field Programmable Gate Array(FPGA) 비트스트림을 조작해 구성요소 안팎으로 실행되는 요소를 통해 TAm 공격 방법 발견

두 개의 취약점(CVE-2019-1649. CVE-2019-1862)을 이용한 Cisco 장비에 백도어 삽입 공격 시나리오 발표 

*TAm : Intel사의 Software Guard Extensions(SGX) 상응하는 모듈임, 2013년부터 Cisco 장비의 보안 칩으로 사용 되고 있음. 

Trust Anchor Moduel(TAm)은 Cisco 장비에서 실행되고 로드되는 부트로더(bootloader) 인증을 암호확적으로 검증하는 외부의 하드웨적으로 독립된 구성 요소에서 실행 됨.

- 취약점 : 액세스 권한을 관장하는 TAm모듈에 취약점이 존재해, 로컬 공격자가 펌웨어의 이미지를 조작 가능.

- 선행조건 : 비트스트림 조작을 위해서는 장비의 root 접근 권한이 선행 되어야 함

- 공격 시나리오 :

(1) CVE-2019-1862 취약점 공격으로 root 권한 획득 (CVE-2019-1862 취약점 포스팅 참고)

(2) CVE-2019-1649 공격으로 Tam 부트 프로세스 검증 설정을 해제하거나 보안 업데이트가 불가하도록 설정 가능

(3) Cisco 펌웨어를 조작하여, 백도어 삽입.

- 영향 받는 제품 : FPGA 기반 Tam을 사용하는 모든 Cisco 장비

  영향 받는 제품 리스트 :  아래 링크 참고
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

- 대응방법 : 펌웨어 업데이트

관련 CVE 정보

- CVE-2019-1649

- CVSS Base Score: 6.7

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

   https://www.zdnet.com/article/thrangrycat-flaw-lets-attackers-plant-persistent-backdoors-on-cisco-gear/

   https://www.theregister.co.uk/2019/05/13/cisco_thrangrycat_vulnerability/

   https://threatpost.com/cisco-bugs-unpatched-millions-devices/144692/

요약

- Cisco Elastic Service Controller : 가상 네트워크 기능(Virtual Network Function, VNF)을 모두 컨트롤할 수 있는 

                                            종합 컨트롤러로 VM, 서비스 모니터링, 자동 복구, 다이나믹 스케일링 등의 기능을 제공. 

                                            ESC 사용자는 Cisco 제품에만 국한하지 않고, 전체 가상 환경 기능(VNF)에 대해 가상화된 자원의 

                                            모든 라이프 사이클의 조정이 가능함. 

- 취약점 : Cisco Elastic Service Controller의 REST API에 취약점이 존재해, 원격 공격자가 REST API의 인증을 우회할 수 있음.   

             원격 공격자가 특수하게 가공한 request를 REST API에 보내, REST API를 통해 관리자 권한으로 해당 시스템에 임의의 코드를 실행 할 수 있음

- 취약 원인 : API 요청 검증 미흡

- 취약한 버전 : Cisco Elastic Service Controller REST API 4.1-4.4, REST API 사용이 허용으로 설정된 경우 

                   *REST API는 기본설정은 '사용 불가'임

-대응방안 : 4.0버전으로 다운그레이드/4.5 버전으로 업그레이드/ 또는 각 버전 별 패치 필요

4.1 ->  4.1.0.100, 4.1.0.111

4.2 ->  4.2.0.74, 4.2.0.86

4.3 ->  4.3.0.121, 4.3.0.128, 4.3.0.134, 4.3.0.135

4.4 ->  4.4.0.80, 4.4.0.82, 4.4.0.86

※ 현재 해당 취약점을 이용한 공격은 목격되지 않음

관련 CVE정보

- CVE-2019-1867

- CVSS Score : 10/10

- PoC : 현재(2019.05.10 10:30) 없음

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

        https://www.networkworld.com/article/3394337/cisco-releases-a-critical-security-patch-for-a-virtualized-automation-tool.html#tk.rss_security

요약

- 취약점 :  GPS 추적 앱에 취약점이 존재해 자동차 도난 초래 및 일부 작동중인 차량의 엔진을 끌 수 있음. 

              초기 비밀번호를 통해 다수의 계정에 대한 접근 및 정보 유출 가능.

   (Google Play 앱스토어에 제공되는 데모 버전의 초기 비밀번호가 123456이며, API 비밀번호가 123456임을 설명서에 명시되어 있음)

- 취약 앱 : iTrack, ProTrack

*ProTrack : 웹 기반 GPS 추적 전문 소프트웨어. 실시간 추적 서비스를 차량 소유주에게 제공하는 소프트웨어로 전세적으로 널리 사용 되고 있음 

              (iTryBrand Technology(중국 선전)회사 제조 )

*iTrack : GPS 추적 보안 시스템, 차량 추적 시스템, 차량 보호, 차량 관리 시스템을 제공하는 앱 (SEEWORLD(중국 광저우)회사 제조)

*iTryBrand 와 SEEWORLD회사는 추적장비 하드웨어와 사용자가 직접 관리 할 수 있는 클라우드 플랫폼을 함께 판매함. 

- 테스트 과정: 

(1) 취약점 발견자(가칭 L&M)에 따르면 GPS 추적 장치를 통해 차량을 관리할 수 있는 약 7000개의 iTrack 계정과 20,000개의 

    ProTrack 계정 해킹에 성공했다고 밝힘

(2) 앱의 API를 통해 유저네임 및 초기 번호(123456, 계정 생성 시 부여받는 비밀번호) 이용 Brute-force 방법으로 접근 성공. 

     일부 배포사의 계정 접근에도 성공 

(3) 접근 성공으로, 남아프리카, 모로코, 인도, 필리핀 등의 세계 각지의 차량에 추적할 수 있다고 주장.

(4) 테스트에 사용한 GPS 장비 이름, 모델, 장비 일련번호(IMEI번호), 유저네임, 아이디 소유주 이름, 전화번호, 이메일주소, 

    주소 등의 정보 또한 얻을 수 있었다고 함.

    (이를 토대로 Motherboard지는 4명의 실제 앱 사용자에게 연락을 취해 테스트 성공 여부를 확인)

(5) 실제 자동차 엔진을 끄거나 어떻게 구현이 가능한지는 밝히지 않음 

- GPS 추적 장비 제조사 Concox에 따르면 추적 앱 사용자들은 20km/h 이하의 속도로 주행 시 원격으로 엔진을 끌 수 있다고 밝힘.

- ProTrack 앱 사용 회사인 남아프리카회사 Probotik System의 대표는 엔지니어가 추적 장비를 설치 시 ‘엔진 끄기 기능’을 ‘사용 가능’으로 

  설정할 시 공격이 가능하다고 밝힘.

 - 대응 : ProTrack은 이메일을 통해 데이터 유출에 대해 부인했으나, 사용자들에게 비밀번호를 바꾸도록 권고함.

Google Play 앱스토어에서 데모 앱을 다운받을 시 비밀번호를 변경하라는 안내메시지를 현재 추가한 상탬.

참고자료

출처 : https://motherboard.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

        https://gbhackers.com/gps-tracking-apps/

요약

- 최초 발견 : 4월 17일 중국 정부 취약점 데이터베이스에 등재(CNVD-C-2019-48814- http://www.cnvd.org.cn/webinfo/show/4989)

- 취약점 :wls9_async 와 wls-wsat 요소에 취약점 존재해 역직렬화 원격 명령어 실행이(Unauthenticated remote command execution-RCE) 가능. 

            공격자는 인증없이 원격으로 명령어 실행 공격이 가능.

- 공격시나리오 : 

(1) 공격자는 특수하게 가공한 XML 리퀘스트를 WebLogic 서버에 보냄.

(2) XML 리퀘스트는 서버가 코드를 실행하도록 하는데, 이 코드는 지정된 악성 호스트에 접속하고, 리퀘스트를 완료하도록 지시함.

(3) WebLogic 서버는 추가 공격 지시가 담긴 XML 리스판스를 악성 호스트로부터 받게 됨.

- 취약원인 : SANS ISC handler Rob VandenBrink에 따르면 취약 WAR 요소들이 모든 직렬화된 데이터를 받아 처리함과 동시에 

                “나쁜” 정보들의 블랙리스트도 함께 가지고 있어 취약점 존재.

                (따라서 이와 유사한 다른 취약점 존재 가능성이 높음)

- 선행조건 : wls9_async_response.war 과 wls-wsat.war 요소가 사용가능으로 지정

- 영향받는 제품 : WebLogic Server 버전 10.3.6.0.0, 12.1.3.0.0

- 대응방법 

(1) Fusion Middleware 패치 업데이트 

(2) WAR 패키지(wls9_async_response.war, wls-wsat.war) 를 삭제하고 Weblogic service 재시작

(3) /_async/* 와 /wls-wsat/* URL 패스 접근 제한

- 영향성 : 현재 해당 취약점을 이용한 공격이 성행 중임. 

관련 CVE정보

- CVE-2019-2725

- CVSS Base Score : 9.8

- PoC :  https://www.anquanke.com/post/id/177381 

           https://github.com/No4l/MyTools

- 재현 : https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

탐지룰 존재유무

(TrendMicro) 

Deep Packet Insepection Rules :

- 1009707 - Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

참고자료

출처 : https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

        https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

        https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

요약

- 선행조건 : enableCmdLineArguments 기능 사용이 허용, 운영체자가 Windows인 경우

- 취약점 : JRE가 코맨드 라인 인수를 Windows로 전달하는 과정 중 발생하는 오류로 인해 CGI(Command Gateway Interface) 서블릿에 원격 코드 실행 취약점 존재. 

원격 공격자는 특수하게 가공한 요청을 보내 시스템에 임의의 코드를 실행 할 수 있음.

- 영향받는 제품 : Windows에서 운영되는 

Apache Tomcat 7.0.0 – 7.0.93

Apache Tomcat 8.5.0 - 8.5.39

Apache Tomcat 9.0.0.M1 - 9.0.17

- 대응방안 : Tomcat 최신 버전으로 업그레이드 또는 업그레이드가 불가능할 경우 enableCmdLineArguments 기능 사용하지 않음으로 설정

Apache Tomcat 9.0.18 또는 최신 버전으로 업그레이드

Apache Tomcat 8.5.40 또는 최신 버전으로 업그레이드

Apache Tomcat 7.0.94 또는 최신 버전으로 업그레이드  

*Tomcat 9.0.X 버전 enableCmdLineArguments 기본 설정은 ‘허용하지 않음’

관련 CVE정보

- CVE-2019-0232

- CVSS 3.0 Base Score : 9.8

- PoC : 

    https://packetstormsecurity.com/files/153506/Apache-Tomcat-CGIServlet-enableCmdLineArguments-Remote-Code-Execution.html

    https://github.com/pyn3rd/CVE-2019-0232

-Metasploit : https://www.rapid7.com/db/modules/exploit/windows/http/tomcat_cgi_cmdlineargs

- 재현 영상 : https://twitter.com/4chr4f2

영향성

취약 버전 사용 시 신속한 업데이트 및 조치 필요

참고자료

출처 : http://mail-archives.apache.org/mod_mbox/www-announce/201904.mbox/<13d878ec-5d49-c348-48d4-25a6c81b9605@apache.org

   https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

   https://wwws.nightwatchcybersecurity.com/2019/04/30/remote-code-execution-rce-in-cgi-servlet-apache-tomcat-on-windows-cve-2019-0232/

윈도우 코맨드 라인 삽입 : https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html

잘못된 코멘드 라인 인수 사용 : https://web.archive.org/web/20161228144344/https://blogs.msdn.microsoft.com/twistylittlepassagesallalike/2011/04/23/everyone-quotes-command-line-arguments-the-wrong-way/

요약

- Kibana :  오픈소스 분석, 시각화 플랫폼으로 Elasticsearch와 연동됨. 

              데이터 분석 시 복잡한 빅데이터 스트림과 로그를 쉽고 빠르게 시각화 하는데 사용 됨. 

              브라우저 기반 인터페이스로 구성되어있으며 Elasticsearch 데이터베이스에서 실시간으로 데이터를 수집하여         

              다양한 형태의 차트, 테이블, 맵등으로 시각화 기능을 수행함.

              초기 설정으로 5601포트에서 사용함.

- 이슈 : 26,000개의 Kibana 인스턴스가 인터넷에 노출 되어 있으며, 대부분 보안이 되지 않고있음   

          https://www.shodan.io/report/Q1dTCJhM                                   

          (Kibana에 자체 보안 기능이 탑재 되어있지 않기 때문일 것으로 추정하나 자체 보안 툴이 존재 하지 않더라도 

           사용자는 서드파티 플러그인(ex, Search Guard) 등을 이용해 인증 보안 기능을 강화할 수 있음)

- 취약점 : 원격 공격자는 악의적인 자바스크립트 코드를 실행하여 호스트 시스템에 임의의 명령어를 실행 할 수 있음.
       

            (1) 서버의 보안이 최적화되어 있을지라도, Elasticsearch가 127.0.0.1/localhost/기타 루프백 주소에 연결이 되어 있고, 

                 elasticsearch 스택에 Kibana 앱이 운영된다면 서버의 가용성에 영향을 미치거나, 비인가 사용자가                         

                 admin권한으로 Kibana 대시보드에 접근할 수 있음. 악성 요소에 대한 추가 권한 상승 등을 초래할 수 있음

                   -> Kibana 인스턴스는 Elasticsearch의 모든 데이터베이스에 대한 접근 가능이 기본으로 설정 되어 있지 

                        않음. Admin이 데이터 사용자의 Kibana 대시보드를 이용한 데이터 접근 권한을 부여하게 되어있음.

             (2) Apache 와 Ngnix 역 프록시 설정이 잘못되어 로그인 페이지가 포트 80번과 8080번으로 제공될 시, 쉽게 우회 

                  가능하며, 접근 제한이 적절하게 이루어지지 않은 경우 Kibana 앱 포트(초기: 포트 5601)로 직접 접속이 가능 함.

- 노출 인스턴스 관련 분야 : e-learning 플랫폼, 금융 시스템, 주차 관리, 병원 관리, 대학교 관리 시스템, 자동 감시 카메라,       

                                    아시아 증권 거래서 등 다양함. 

- 국가별 노출 : Shodan 검색 결과에 따르면 주요 10개국 - 미국(8,311), 중국 (7,282), 독일 (1,709), 프랑스(1,152),                   

                    아일랜드(990), 싱가포르(759), 네덜란드(740), 한국(620), 일본(599), 인도(569)

- 호스팅 서비스별 : 노출 호스트는 대부분 클라우드 서비스를 이용함 – Amazon, Alibaba, Microsoft Azure, Google Cloud

- 영향성 : 많은 수의 서버가 인증없이도 접근이 가능할 수 있어 중요 데이터베이스의 보안이 취약할 수 있음.

- 대응방안 : 최신 소프트웨어로 업데이트 및 노출된 인스턴스에 대해 비밀번호 설정 등을 통해 보안을 강화하고,                   

               기존 서버에 대해 자료 유출이 이루어지지 않는지 모니터링이 필요함.

참고자료

취약점 분석 원문 : https://medium.com/@InfoSecIta/kibana-the-new-toy-for-pentesters-bughunters-hackers-e72048bd98b0
출처 : https://thehackernews.com/2019/04/kibana-data-security.html