해외 보안 트렌드

요약

- Jackson T.가 Low-level 하드웨어 접근 (LHA) 커널 모드 드라이브를 분석 중 발견

- 취약점 : 목표 장비에 접근이 가능한 공격자는 장치 관리자 앱을 악용하여 SYSTEM으로 권한 상승 후, 특수하게 가공한 IOCTL 요청을 통해 임의의 메모리에 읽고 쓰기가 가능함.

*IOCTL(I/O Control) : 사용자와 커널을 잇는 인터페이스의 일부 

- 영향받는 제품 : LHA.sys 드라이버 1.1.1811.2101 이전 버전

- 취약점은 2018.11.18일 LG측에 보고 됨. 2019.2.13일 패치 발표

- LG Product Security 웹사이트에서는 해당 취약점에 대해 언급 없음

관련 CVE정보

- CVE-2019-8372

- PoC : http://jackson-t.ca/lg-driver-lpe.html(Windows 7, 10 테스트 용)

참고자료

출처 : https://www.securityweek.com/privilege-escalation-vulnerability-found-lg-device-manager

  https://nvd.nist.gov/vuln/detail/CVE-2019-8372

요약

- Simple Social Button : 무료/유료 플러그인으로 소셜 미디어 공유버튼을 웹사이트에 추가할 수 있음. 현재 40,000건 이상의 웹사이트가 해당 플러그인 사용 중.

- 선행조건 : 사용자 계정 등록이 가능해야 함.

- 취약점 : 공격자는 등록된 사용자 계정(admin이 아닌 계정)으로 admin 계정 탈취가능. 또한, Admin이 아닌 사용자 계정으로 중요 WordPress 설치

              설정이 있는 wp_options DB테이블의 옵션을 수정 가능.

- 취약원인: 부적절한 어플리케이션 설계 흐름과 불충분한 권한 검증 

- 영향받는 제품 : simple-social-buttons 2.0.22이전 버전

- 대응방안 : 최신 버전으로 업데이트(2.0.22)

관련 CVE정보

-PoC : https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/

참고자료

출처 : https://threatpost.com/wordpress-plugin-flaw-website-takeover/141746/

        https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/

요약

- Snapd : snaps의 데몬. Snaps은 2014년 Ubuntu를 위해 개발된 앱 패키징 포맷. Snapd로 사용자는 앱을 .snap 파일 형식으로 다운로드하고 

             설치할 수 있음

             모든 Ubuntu OS에 기본으로 설치가 되어 있으며, 이 외의 다른 리눅스 배포판에서도 사용되고 있음.

- 취약점 : snapd의 API에 취약점 존재. 로컬 공격자 권한이 있는 소켓 API에 접근해 관리자 권한을 획득하고, root 레벨의 계정을 생성 할 수 있음

- 취약원인: UNIX 소켓에 접근을 컨트롤 할 시 원격 소켓 주소를 잘못 검증하고 파싱함

- 취약점 별칭 : Dirty Sock 

- 영향받는 제품 : Snapd 2.28이상 2.37이하 버전

- 대응방안 : Snapd 2.371로 업데이트

- Ubuntu 외에도 Snapd 사용하는 Debian, Arch Linux, OpenSUSE, Solus, Fedora도 패치 발표

관련 CVE정보

- CVE-2019-7304

- CVSS 3.0 Score : 8.4

- PoC : https://github.com/initstring/dirty_sock/

Dirty_sockv1

Dirty_sockv2

참고자료

Dirty Sock 분석 : https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html

Dirty Sock 최초 보고 :https://bugs.launchpad.net/snapd/+bug/1813365

Ubuntu : https://usn.ubuntu.com/3887-1/

출처 : https://www.zdnet.com/article/dirty-sock-vulnerability-lets-attackers-gain-root-access-on-linux-systems/

   https://threatpost.com/dirty-sock-snapd-linux/141779/

요약

- runC: 가볍고 이동 가능하게 설계된 런타임으로 Docker, cri-o, containerd, Kubernetes 등의 다양한 컨테이너 플랫폼의 베이스 런타임으로 활용되고 있음.

- 취약점 : 악성 컨테이너가 호스트 runC 바이너리 내용을 덮어써, 컨테이너의 호스트 시스템에서 root 레벨의 임의 코드를 실행 할 수 있음. 

- 대응방안 : runC 패치

(1) 컨테이너 프로세서가 container_runtim_t로 실행되기 때문에, AppArmor(리눅스 커널 보안모듈)와 SELinux(Fedora moby엔진만 해당) 

    정책으로 해당 취약점에 대한 방어 불가능.

*예외 : Fedora moby엔진 패키지 이외 : 컨테이너는 container_t로 실행되기 때문에 docker패키지와 podman(docker와 같은 기능제공)은 

         해당 취약점으로부터 안전함. 

(2) 호스트 root가 컨테이너의 사용자 네임스페이스로 맵핑되지 않게 설정되어 있을 시 취약하지 않음.

- 영향받는 제품 : 모든 runC 컨테이너

*runC외에도 대부분의 컨테이너 런타임들이 해당 취약점을 가지고 있음

(1) 현재까지 검증된 미취약 컨테이너 : 리눅스 컨테이스(LXC, LinuX Containers)

(2) 조사 중인 컨테이너 : Apache Mesos (해당 관계자에 따르면 취약하다고 하나, 취약여부를 조사 중)

(3) 취약 컨테이너 : 

Redhat

Debian

Amazon Linux

Amazon Elastic Container Service(Amazon ECS), 

Amazon Elastic Container Service for Kubernetes(Amazon EKS), 

AWS Fargate, 

AWS IoT Greengrass, 

AWS Batch

AWS Elastic Beanstalk

AWS Cloud9

AWS SageMaker

AWS RoboMaker

AWS Deep Learning AMI

관련 CVE정보

- CVE-2019-5736

- CVSS 3.0 Score : 7.7

- PoC : 2/18일에 공개 예정

  https://github.com/feexd/pocs/blob/master/CVE-2019-5736/exploit.c

탐지룰 존재유무

TrendMicro

- Rule 1002770 - Unix - File Attributes Change In /usr/bin AND /usr/sbin Locations

- Rule 1008271 - Application - Docker

(https://success.trendmicro.com/solution/1122066)

참고자료

runC패치: https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

Redhat : https://access.redhat.com/security/cve/cve-2019-5736

Debian : https://security-tracker.debian.org/tracker/CVE-2019-5736

Amazon : https://aws.amazon.com/security/security-bulletins/AWS-2019-002/

Kubernetes : https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

출처 : https://seclists.org/oss-sec/2019/q1/119

요약

- mstsc.exe : Microsoft사 제공 RDP 클라이언트

- 취약점 : 클립보드 공유로 인한 디렉토리 접근공격 가능. 클라언트에서 복사/붙이기 기능을 이용해, 악의적인 RDP 서버는 클라이언트 시스템의 임의의 위치에 임의의 파일을 이동가능.  

- 공격을 위해서는 사용자의 상호 작용이 필요하기 때문에 Microsoft에서는 이를 취약점으로 인정하지 않음

- 대응방안 : 양방향 클립보드 공유 기능 사용 중지

관련 CVE정보

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

  https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

  https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- rdesktop : 오픈소스 RDP 클라이언트, Kali 리눅스 버전에 기본으로 설치되어 있음

- 총 11개 취약점 발견

- 영향 받는 제품 :  rdesktop 1.8.3 이하

- 주요 취약점

(1) rdesktop ispci_process 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20179) 

취약원인 : ispci_process( )함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.    

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(2) rdesktop rdpsnddbg_process( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20180)

취약원인 : rdpsnddbg_process( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(3) rdesktop seamless_process( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-20181)

취약원인 : seamless_process( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(4) rdesktop process_bitmap_updates( ) 함수 버퍼 오버플로우/원격 코드 실행 취약점 (CVE 2018-8795)

취약원인 : process_bitmap_updates( ) 함수의 정수 언더플로우로 인해 버퍼 오버플로우 발생.

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(5) 기타 취약점

CVE-2018-8791, 8792, 8793, 8794, 8796, 8797 ,8798, 8799, 8800

CVE-2018-20174, 20175, 20176, 20177, 20178, 20182

- 대응 방안 : 1.8.4 또는 최신 버전으로 업그레이드

관련 CVE정보

- CVE-2018-8791~8800, CVE-2018-20174~20182

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

   https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

   https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- FreeRDP : 가장 널리 사용되는 오픈소스 RDP 클라이언트 

- 총 5개 취약점 발견

- 해당되는 제품 :  2.0.0-rc3 버전 이하 

- 주요 취약점

(1) FreeRDP update_read_bitmap_update( )버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-8786)

취약원인 : update_read_bitmap_update( )함수의 부절절한 경계 검사로 인해 오버플로우로 발생

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(2) FreeRDP gdi_Bitmap_Decompress( )버퍼 오버플로우/원격 코드 실행 취약점 (CVE-2018-8787)

취약원인 : gid_Bitmap_Decompress( )함수의 정수 언더플로우로 인해 발생

취약점 : 악의적인 RDP 서버에 클라이언트가 접속 시, 원격 공격자는 클라이언트 시스템에 임의의 코드를 실행하고 버퍼 오버플로우를 

           일으킬 수 있음

CVSS 3.0 Score : 7.5

(3) 기타 취약점 :

CVE-2018-8784, 8785, 8788, 8789

- 대응 방안 : 2.0.0-rc4 또는 최신 버전으로 업그레이드

관련 CVE정보

- CVE-2018-8784 ~ 8789

- PoC : 일부 PoC 및 재현 영상 공개 (https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/)

탐지룰 존재유무

-Check Point : FreeRDP Remote Code Execution (CVE-2018-8786)

참고자료

출처 : https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

  https://www.darkreading.com/vulnerabilities---threats/new-vulnerabilities-make-rdp-risks-far-from-remote/d/d-id/1333799

  https://www.hackread.com/rdp-protocols-flaw-machines-prone-to-remote-code-execution/

요약

- 취약점 : 악성 어플리케이션으로 Keychain(Mac OS용 패스워드 관리 시스템)에 저장된 패스워드에 대한 접근 가능. 관리자의 권한이 없이도 다른 사용자의 Keychain 파일 내용까지 추출 가능함.

- 해당되는 제품 :  macOS 10.14.3 (현재까지 확인된 버전)

- 대응방안 : 수동으로 Keychain 잠금, Keychain에 대한 비밀번호 설정.

- Apple이 macOS를 제외한 나머지 제품에 대해서만 버그 바운티 프로그램을 실시하는데에 대한 불만으로 최초 발견자(Linus Henze)는 Apple에 취약점 관련 자료 공유를 거부함.

관련 CVE정보

- PoC : 아직 공개하지 않음 (재현 YouTube 영상만 공개함)

영향성

PoC가 공개되지 않아 정확한 영향성은 확인하기 어려움

참고자료

Linus Henze 트위터 : https://twitter.com/LinusHenze

출처 : https://www.zdnet.com/article/new-macos-zero-day-allows-theft-of-user-passwords/#ftag=RSSbaffb68

   https://www.bleepingcomputer.com/news/security/researcher-declines-to-share-zero-day-macos-keychain-exploit-with-apple/