해외 보안 트렌드

요약

- Secure/Multipurpose Internet Mail Extensions(S/MIME) 해독, 검증 또는 Cisco Email Security Appliance(ESA)의 Cisco AsyncOS 소프트웨어 S/MIME 퍼블릭 활성 기능에 취약점 존재. 

- 취약점: 인증되지 않은 원격 공격자가 시스템 메모리 변형을 일으킬 수 있음. 예기치 못하게 발생한 리로드에 필터링 과정을 거치게 만들어 DoS 공격이 가능함(해독과 검증 또는 퍼블릭 키 활성이 설정 되어 있는 경우, 메모리 변형과 재부팅으로 인해 필터링 프로세서가 작동중지(crash)하게 됨)

공격이 성공적일 시 공격자 영구적인 DoS 환경을 조성할 수 있음. 

- 취약 원인 : S/MIME 이메일의 입력값에 대한 부적절한 검증

- 취약 대상 : Cisco AsyncOS Software for ESA 11.1.XD 이하 버전에 Cisco AsyncOS Software를 업데이트 하지 않은 모든 장비 

- 대응 방안 : 최신 버전으로 업데이트

Cisco AsyncOS Software for ESA 9.0 이하 : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 9.0.x      : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 10.0.x     : 11.0.2-044 로 마이그레이션

Cisco AsyncOS Software for ESA 11.0.x     : 11.0.2-044

Cisco AsyncOS Software for ESA 11.1.x     : 11.1.1-037 또는 11.1.2-023

*ESA를 복구하기 위해 수동 조작이 필요할 수 있음

관련 CVE정보

- CVE-2018-15453

- CVSS Score: Base 8.6

- PoC : 현재(2019.1.10 11:30) 없음

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-dos

요약

*Orange Livebox ADSL 모뎀 : 주로 스페인과 프랑스 등 지에서 많이 사용됨

- 19,500대의 Orange Livebox ADSL 모뎀이 WiFi 크리덴셜을 유출하는 것이 발견됨.

- 취약점 : 원격 공격자는 모뎀의 ‘get_getnetworkconf.cgidp 접근해 내부 WiFi 네트워크의 WiFi 패스워드와 네트워크 ID(SSID)를 획득할 수 있음

- 위험요소 : SSID를 이용해 위치정보를 획득할 수 있고 이를 이용해 특정 회사, 개인을 선별해 공격이 가능해짐. 취약점을 이용한 온라인 봇넷 생성이 가능. 

- 해당제품 : Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, Arcadyan ARV7519RW22-A-L T VR9 1.2.

- 대응방안 : 최신 Firmware 00.96.00.96.613E로 업데이트 

관련 CVE정보

CVE-2018-20377

참고자료

출처:  https://badpackets.net/over-19000-orange-livebox-adsl-modems-are-leaking-their-wifi-credentials/

  https://www.zdnet.com/article/over-19000-orange-modems-are-leaking-wifi-credentials/

  https://threatpost.com/19k-orange-livebox-modems-open-to-attack/140376/

요약

- 취약점 : WibuKey.sys의 0x8200E804 IOCTL 핸들러 기능의 pool 손상 취약점.

- 공격자는 특수하게 가공한 IRP 요청을 이용해 커널 메모리 손상을 일으킬 수 있는 버퍼 오버플로우 공격 가능.

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3990

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution

요약

- 취약점 : 공격자는 특수하게 가공된 IRP 요청으로 드라이버가 초기화하지 않은 메모리를 반환할 수 있어 커널 메모리 누출 발생

WIBU-SYSTEMS WibuKey.sys 버전6.40 (Build 2400)의 0x8200E804 IOCTL 핸들러 기능에 취약점 존재

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3989

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution

요약

* Wibukey: 디지털 저작권 관리툴(Digital Rights Management)로 Straton, Archicad, GRAPHISOFT, V-Ray 등의 많은 인터페이스, 오퍼레이션, 솔루션에 사용되고 있음 

- 취약점 : WibuKey Network 서버 관리의 WkbProgramLow 함수에 heap overflow 취약점 존재. 공격자는 특수하게 가공한 TCP 패키지를 사용해 원격으로 커널 레벨의 코드 실행 가능

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3991

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution

요약

* ThinkPHP : 중국 개발 PHP 프레임워크로 현지 웹 개발에 많이 사용 됨

- 중국 보안업체 VulnSpy가 취약점 PoC 코드를 12/11일 ExploitDB에 올린 뒤, 해당 취약점을 이용해 약 45,000개의 중국 웹사이트가 공격 당함

- 취약점 : invokeFunction 메소드의 취약점을 이용해 공격자는 원격으로 서버에 악성 코드를 실행 할 수 있고, 서버를 컨트롤 할 수 있음.

- 대표 공격자 그룹 : D3c3mb3 - ThinkPHP취약점을 이용해 서버에 Miori IoT 악성코드 전파 (Miori: Mirai 변종)

                          (다양한 공격자 그룹이 ThinkPHP 스캔을 통해 공격 목표 대상을 찾고 있음)

- Shondan, ThinkPHP 검색  = 총 45,800개 (40,000 이상이 중국 IP/ 한국 = 315개)

(*ThinkPHP 설명서는 중국어만 존재해 중국 사용자가 대다수로 추정)

- 영향받는 제품 : ThinkPhP 5.0.20, 5.1.30

- 대응방안 : ThinkPHP 5.0.23, 5.1.31 혹은 최신 버전으로 업데이트

관련 CVE정보

- 현재(2018.12.24 14:00) 없음

- PoC : https://www.exploit-db.com/exploits/45978

# Exploit Title: ThinkPHP 5.x < v5.0.23,v5.1.31 Remote Code Execution

# Date: 2018-12-11

# Exploit Author: VulnSpy

# Vendor Homepage: https://thinkphp.cn

# Software Link: https://github.com/top-think/framework/

# Version: v5.x below v5.0.23,v5.1.31

# CVE: N/A

# Exploit

http://server/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'

탐지룰 존재유무

-F5 BIG-IP ASM : ThinkPHP Spoofed Controller Name Remote Code Execution

참고자료

F5 PoC 설명 : https://devcentral.f5.com/articles/thinkphp-5x-remote-code-execution-vulnerability-32902

Trend Micro 분석 : https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/

출처 : https://www.zdnet.com/article/chinese-websites-have-been-under-attack-for-a-week-via-a-new-php-framework-bug/#ftag=RSSbaffb68

요약

- Sandboxescaper 발표 (3번째 제로데이 발표)

- 취약점 : 임의의 파일 읽기 취약점으로 권한이 낮은 사용자 또는 악성 프로그램이 관리자 권한으로만 읽을 수 있는 파일들을 읽을 수 있음. 

             ‘MsiAdvertiseProduct’ 함수에 취약점 존재 

(*MsiAdvertiseProduct: 광고 스크립트, 제품 광고를 컴퓨터에 생성하거나 인스트롤러로 레지스트리에 스크립트와 제품에 할당되는 바로가기 정보를 만듦) 설치 서비스를 이용해 SYSTEM 권한으로 어떤 파일이든지 복사가 가능하고 읽기가 가능함.

- 취약원인 : 부적절한 검증

*첫번째 제로데이 코드를 Microsoft에 알리지 않은 채로 공개해 Github 계정 접근 권한을 잃음.

*FBI의 소환장에 따라 구글이 Sandboxescaper의 계정 정보를 제공함(제로데이 코드를 무단 배포한 것과 관련이 있거나 혹은 트위터에 미국 대통령을 위협한 것 때문이라는 추측만 무성)

관련 CVE정보

- 현재(2018 12.21 10:40) 없음

- PoC : 개시 후 Github 계정이 블락된 상태

- 재현 동영상 : https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

참고자료

Sandboxescaper 블로그: https://sandboxescaper.blogspot.com/2018/12/readfile-0day.html

출처: https://thehackernews.com/2018/12/windows-zero-day-exploit.html

 https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

요약

- 취약점 : ASA 소프트웨어의 인증 서브시스템에 취약점 존재. 인증되었지만 권한이 없는(level 0, 1) 원격 공격자가 웹 메니지먼트 인터페이스를 이용해 권한이 필요한 행위가 가능.

공격자는 level0,1의 권한없는 사용자로 취약 장비에 HTTPS를 통해 특정 HTTP 요청을 보내 공격.

장비에서 설정 파일을 실행 등을 포함한 파일 취득, 소프트웨어 이미지를 업로드, 또는 이미지 교체가 가능함.

- 취약원인: 웹 메니지먼트 인터페이스를 사용할 때 사용자 권한을 부적절하게 인증

- 해당제품 : 웹 메니지먼트 접근이 가능한 Cisco ASA Software를 사용 하는 모든 Cisco장비 

- CVSS Score : Base Score : 8.1

- 대응방안 : 해당하는 버전으로 업그레이드 

Cisco ASA Software 9.1이하, 9.21, 9.31 : 9.4.4.29 버전으로 교체

Cisco ASA Software 9.4버전 :  9.4.4.29으로 업그레이드

Cisco ASA Software 9.51, 9.6  : 9.6.4.20 버전으로 교체

Cisco ASA Software 9.71 : 9.8.3.18 으로 교체

Cisco ASA Software 9.8 : 9.8.3.18 버전으로 업그레이드

Cisco ASA Software 9.9 : 9.9.2.36 버전으로 업그레이드

Cisco ASA Software 9.10 : 9.10.1.7 버전으로 업그레이드

*9.4, 9.5, 9.7 : 소프트웨어 유지 보수기간이 종료 되었으므로 다른 버전으로 교체해야 함.

관련 CVE정보

CVE-2018-15465 

참고자료

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181219-asa-privesc

출처: https://www.tenable.com/blog/privilege-escalation-flaw-discovered-in-the-cisco-adaptive-security-appliance