해외 보안 트렌드

요약

- Google Threat Analysis Group 발견

- 해당 취약점을 이용한 다수의 공격이 탐지돼 패치 필요.

- 취약점 : 스크립팅 엔진이 Internet Explorer의 객체를 메모리상에서 처리하는 방식에 원격 코드 실행 취약점 존재.  

웹 기반의 공격으로 사용자를 악성 사이트에 접속하도록 유도해, 접속 시 취약점 이용 공격 가능. 

원격 공격자는 사용자 권한을 이용해 시스템에 임의의 코드를 실행, 또는 메모리에 손상을 입힐 수 있음

공격자는 프로그램을 설치, 데이터 읽기, 변경, 삭제, 사용자 권한을 모두 가진 새로운 계정을 생성 가능.

-해당제품 : 

Internet Explorer 11 - Windows 7 ~ Windows 10, Windows Server 2012, 2016, 2019

Internet Explorer 10 - Windows Server 2012

Internet Explorer 9 - Windows Server 2008

- CVSS Score : Base Score : 7.5

- 대응방안 : 해당 버전 패치 또는 jscript.dll 파일에 대한 모든 그룹의 권한을 수동으로 제거

(윈도우자동업데이트 기능이 켜져 있을 시, 이미 패치 됨.)

악성코드제거

https://malwarecomplaints.info/remove-cve-2018-8653-exploit/

https://howtoremove.guide/remove-cve-2018-8653-exploit/

시만텍 툴이용: https://us.norton.com/online-threats/exp.cve-2018-8653-2018-122007-1112-99-writeup.html

관련 CVE정보

-현재(2018 12.20 10:10) 없음

탐지룰 존재유무

- 맥아피

DAT - V2 DAT (9113), V3 DAT (3564) – Applies to products that consume DATs. 

Generic Buffer Overflow Protection (GBOP) - Signature ID – 428

UDS-HTTP: Microsoft Internet Explorer Use-After-Free Vulnerability (CVE-2018-8653)

(https://kc.mcafee.com/corporate/index?page=content&id=SNS1785&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

https://kc.mcafee.com/corporate/index?page=content&id=SNS1790&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US)

- 시만텍 attack signiture

Web Attack: Microsoft Internet Explorer CVE-2018-8653 Activity 

(https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=31236)

- Trend Micro

1009449 - Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2018-8653)

(http://apac.trendmicro.com/vinfo/apac/threat-encyclopedia/vulnerability/deep-security-center)

참고자료

Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653

출처: https://www.bleepingcomputer.com/news/security/microsoft-releases-out-of-band-security-update-for-internet-explorer-rce-zero-day/

  https://krebsonsecurity.com/2018/12/microsoft-issues-emergency-fix-for-ie-zero-day/

요약

- 미국 국방부 감사에 따르면(Department of Defense, DoD) 미국 탄도 미사일 방어 시스템(ballistic missile defense system, BMDS)의 보안이 매우 취약함.

- 의회의 요청에 따라 총 104의 국방부 중 무작위로 5곳을 선택해 감사

- 2차례에 걸쳐 비인가된 접근으로부터 탄도미사일방어시스템 보안 여부를 테스트 함.

- 감사 결과 : ""육군, 해군, 미사일방어국(MDA)는 미사일방어시스템 기술 정보를 처리, 저장, 전송하는 네트워크와 시스템을 보호하지 않음""

- 주요 취약점:

º 소프트웨어 보안 문제:

다단계 인증(multi-factor authentication) 없음

취약점 패치 안함 (3/5곳 : 네트워크 취약점 관련 패치 실패 (최대 28년전(1990) 취약점 패치 안됨)

º 물리적 보안 문제:

2/5곳 : 서버랙 열려있음 -> 비인가된 물리적 접근 가능

3/5곳 : 서버랙 잠금 장치 없음 -> 아무나 들어가서 악성 장비를 연결할 수 있음

º 이동식 미디어를 이용해 데이터 전송 시 암호화하지 않음

º IDS/IPS 장비 없음

º 백신 등 보안 장비 없음

º 데이터베이스 접근 권한 관리 부실

º MDA 빌딩 출입 감시 카메라 고장

º 빌딩 내 문들이 잠겨있지 않고 열려 있어 누구나 쉽게 접근 가능

*미국 탄도 미사일 방어 시스템(BMDS) :

미사일이나 미사일의 탄두를 목표물에 도달하기 전에 파괴하기 위하여 고안된 시스템을 일컫는다. 

이러한 시스템은 무기, 발사체 및 추적과 지시 레이더와 다양한 보조 시설들을 포함하는데, 동 시스템은 다양한 기술과 기법에 바탕을 둔다. 

[Ballistic missile defense system] (외교통상용어사전, 대한민국정부)

영향성

탄도미사일시스템의 보안이 매우 취약하다는 감사 보고서는 큰 파장을 불러 일으키고 있음

참고자료

감사보고서 원문: https://media.defense.gov/2018/Dec/14/2002072642/-1/-1/1/DODIG-2019-034.PDF

출처: https://www.securityweek.com/technical-data-us-missile-defense-system-lacks-adequate-protections-dod-says

       https://www.zdnet.com/article/us-ballistic-missile-systems-have-very-poor-cyber-security/#ftag=RSSbaffb68

요약

- 취약점 이름 : Magellan

- Tencent Blade 보안팀이 발견

- 취약점 : 공격자는 원격으로 악성 코드를 실행 할 수 있음. 또한 프로그램  메모리 누출 혹은 DoS공격으로 인해 시스템 작동중지(crash)할 수 있음

기본 브라우저가 SQLite이고 공격 코드를 일반 SQL구문으로 변환해주는 Web SQL API를 지원할 경우, 웹 페이지를 접근하는 간단한 방식으로 원격 공격이 가능.

- 선행조건 : 임의의 SQL구문을 생성 할 수 있어야 함.

*SQLite : 웹 브라우저, 안드로이드 앱, iOS앱, IoT, 주요 OS와 S/W에 사용되는 DB이며 매우 많은 어플리케이션에 임베디드 되어 있어 해당 취약점에 영향을 받는 제품이 많음.

- 영향성 : 데스크탑, 모바일, 웹 어플리케이션의 기반 데이터베이스 엔진을 업데이트 하는 것은 데이터 손실 등을 초래할 수 있는 위험한 작업이라

             대부분의 프로그래머들이 기피함. 

             또한 앱 개발자들은 대게 라이브러리와 앱의 요소들을 잘 업데이트 하지 않기 때문에 이 취약점의 영향성은 상당할 것으로 추정

- 영향제품 : SQLite나 Chromium기반 웹 브라우저 (Google Chrome, Vivaldi, Opera, and Brave)를 사용하고 있는 모든 장비와 소프트웨어

- 대응방안 : Chromium 71.0.3578.80 버전으로 업데이트 / SQLite 3.26.0 버전으로 업데이트

관련 CVE정보

- 현재(2018.12.17 1:30) 없음

- PoC : Tencent Blade팀 - 발표 계획 없다고 밝힘.

참고자료

Tencent's Blade 보안팀: https://blade.tencent.com/magellan/index_en.html

재현: https://worthdoingbadly.com/sqlitebug/

출처: https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-browsers/

 https://thehackernews.com/2018/12/sqlite-vulnerability.html

요약
Cross-site scripting(XSS) 

- 취약점 : 공격자는 특수하게 제작한 DB/테이블 이름을 이용해 데시보드에 악성 코드 삽입이 가능한  네비게이션 트리에 XSS취약점 존재.

- 심각도 : 심각

- 영향 받는 품 : 4.0-4.8.3

- 대응방안 : 모든 취약점에 대한 대응방안으로 : 최신 버전 (4.8.4)로 업데이트하거나 패치 필요

(https://www.phpmyadmin.net/security/PMASA-2018-8/)

관련 CVE코드

CVE-2018-19970

참고자료

출처: https://thehackernews.com/2018/12/phpmyadmin-security-update.html

요약

- Cross-Site 요청 변조(Cross-Site Request Forgery, CSRF/XSRF) 

- 취약점 : 사용자가 특수하게 제작된 링크를 열어보게 만들어 공격자는 'DB이름수정, 새로운 테이블/루틴 생성, 디자이너 페이지 삭제, 

            사용자 추가/삭제, 사용자 비밀번호 변경, SQL 프로세서 죽이기 등 악의적으로 SQL 구동 가능. 

- 심각도 : 보통

- 영향 받는 제품  : 4.7.0 - 4.7.6, 4.8.0-4.8.4

- 대응 방안 : 패치 (https://www.phpmyadmin.net/security/PMASA-2018-7/)

관련 CVE코드

CVE-2018-19969

참고자료

요약

LFI (Local file inclusion) 취약점

- 취약점 : 원격 공격자가 변환 기능을 통해 서버 로컬파일에서 민감한 정보를 읽을 수 있음

- 선행 조건: 공격자는 phpMyAdmin Configuration Storage 테이블에 접속해야 함(공격자가 접근 가능한 아무 DB에 손쉽게 생성이 가능). 

   공격자는 유효한 크리덴셜을 가지고 있어야 phpMyAdmin에 로그인할 수 있음. (이 취약점으로 로그인 우회할 수 없음)

- 심각도 : 심각

- 영향 받는 제품  : 4.0~4.8.3

- 대응방안 : 패치 (https://www.phpmyadmin.net/security/PMASA-2018-6/)

CVE-2018-19968

참고자료

출처 : https://thehackernews.com/2018/12/phpmyadmin-security-update.html

요약

- 취약점 : Cisco Prime License Manager(PLM)의 웹 코드에 인증 받지 않은 원격 공격자가 임의의 SQL쿼리를 실행할 수 있음. 

공격자는 어플리케이션에 영향을 줄 수 있는 악의적인 SQL 구문이 포함한 HTTP POST 요청을 보내 공격.

공격 성공 시, PLM 데이터베이스의 임의의 데이터를 수정하거나 지울 수 있고 postgres 유저 권한으로 쉘 접근이 가능함. 

- 취약원인: 사용자 인풋 SQL 쿼리의 부족한 검증

- 심각도 : Critical

- CVSS Score: Base 9.4

- 해당제품 : Cisco Unified Communications Manager, Cisco Unity Connection

- 해당버전 : Cisco Prime License Manager Releases 11.0.1 이상 버전

*Cisco Prime License Manager는 Cisco Unified Communications Manager와 Cisco Unity Connection을 설치하면 자동으로 설치됨

*PLM이 단독으로 설치 되었거나 번들로 설치된 두 경우 모두 해당

- 대응방안 : Cisco Prime License Manager Release 패치(ciscocm.CSCvk30822_v1.0.k3.cop.sgn)를 다운로드하여 수동으로 설치해야 함

관련 CVE정보

- CVE-2018-15441

- PoC : 현재(2018.11.30 15:00) 없음

탐지룰 존재유무

- 벤더룰 : SQL_Injection

영향성

벤더룰 탐지 가능하나 영향받는 버전 사용 시스템의 신속한 패치 필요

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181128-plm-sql-inject

https://threatpost.com/cisco-patches-critical-bug-in-license-management-tool/139481/

요약

-지난 달 10월 24일에 패치된 취약점(CVE-20180-15442)에 대해 두 번째 패치.

-최초 취약점 : 사용자 제공 파라미터를 충분히 검증하지 않아 인증을 받은 로컬 공격자가 SYSTEM 권한으로 임의의 명령을 실행할 수 있음.

로컬에서 공격을 해야 하나 어플리케이션 인증을 받을 필요가 없음. 또한 Active Directory deployment에서 원격 운영체제 관리 툴을 이용한 원격 공격이 가능할 수 있음.

-10월 패치의 취약점 : DLL 하이재킹(소셜 엔지니어 등을 통해 사용자가 어플리케이션을 실행하면 시스템에 파일을 삽입할 수 있음)을 통해 

우회가 가능함.

로컬 공격자 ptUpdate.exe 바이너리와 wbxtrace.dll 파일이 있는 컨트롤러 폴더를 복사해 공격 가능. 권한을 얻기 위해서 공격자는 반드시 명령어 라인 sc start webexservice install software-update 1 ‘attacker-controlled-path’ 으로 시작해야 함 (파라미터 1이 맞지 않을 시 파라미터 2사용)

-심각도 : High

-CVSS Score : Base 7.8

-해당제품 : Microsoft Windows 엔드유저 시스템으로 실행 시 

Cisco Webex Meetings Desktop App 33.6.4 이전 버전

Cisco Webex Productivity Tools releases 32.6.0 이상 33.0.6 이전 버전

-대응방안 : 

-Cisco Webex Meetings Desktop App 33.6.4 혹은 이후 버전으로 업데이트

-Cisco Webex Productivity Tools releases 33.0.6 이상 버전으로 업데이트

(-> Cisco Webex Productivity Tools은 옵션 어플리케이션으로 Cisco Webex Meetings Desktop App 33.2.0으로 대체 되어 별도의 업데이트가 필요하지 않을 수 있음)

관련 CVE정보

-CVE-20180-15442

-PoC : https://www.secureauth.com/labs/advisories/cisco-webex-meetings-elevation-privilege-vulnerability

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection

https://www.securityweek.com/cisco-releases-second-patch-webex-meetings-vulnerability

https://threatpost.com/cisco-re-issues-patch-for-high-severity-webex-flaw/139412/?utm_source=twitter&utm_medium=social&utm_campaign=us_tpnov27_organic&utm_content=link&utm_term=us_twitter_organic_link_social_tpnov27