해외 보안 트렌드

요약

* Wibukey: 디지털 저작권 관리툴(Digital Rights Management)로 Straton, Archicad, GRAPHISOFT, V-Ray 등의 많은 인터페이스, 오퍼레이션, 솔루션에 사용되고 있음 

- 취약점 : WibuKey Network 서버 관리의 WkbProgramLow 함수에 heap overflow 취약점 존재. 공격자는 특수하게 가공한 TCP 패키지를 사용해 원격으로 커널 레벨의 코드 실행 가능

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3991

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution

요약

* ThinkPHP : 중국 개발 PHP 프레임워크로 현지 웹 개발에 많이 사용 됨

- 중국 보안업체 VulnSpy가 취약점 PoC 코드를 12/11일 ExploitDB에 올린 뒤, 해당 취약점을 이용해 약 45,000개의 중국 웹사이트가 공격 당함

- 취약점 : invokeFunction 메소드의 취약점을 이용해 공격자는 원격으로 서버에 악성 코드를 실행 할 수 있고, 서버를 컨트롤 할 수 있음.

- 대표 공격자 그룹 : D3c3mb3 - ThinkPHP취약점을 이용해 서버에 Miori IoT 악성코드 전파 (Miori: Mirai 변종)

                          (다양한 공격자 그룹이 ThinkPHP 스캔을 통해 공격 목표 대상을 찾고 있음)

- Shondan, ThinkPHP 검색  = 총 45,800개 (40,000 이상이 중국 IP/ 한국 = 315개)

(*ThinkPHP 설명서는 중국어만 존재해 중국 사용자가 대다수로 추정)

- 영향받는 제품 : ThinkPhP 5.0.20, 5.1.30

- 대응방안 : ThinkPHP 5.0.23, 5.1.31 혹은 최신 버전으로 업데이트

관련 CVE정보

- 현재(2018.12.24 14:00) 없음

- PoC : https://www.exploit-db.com/exploits/45978

# Exploit Title: ThinkPHP 5.x < v5.0.23,v5.1.31 Remote Code Execution

# Date: 2018-12-11

# Exploit Author: VulnSpy

# Vendor Homepage: https://thinkphp.cn

# Software Link: https://github.com/top-think/framework/

# Version: v5.x below v5.0.23,v5.1.31

# CVE: N/A

# Exploit

http://server/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'

탐지룰 존재유무

-F5 BIG-IP ASM : ThinkPHP Spoofed Controller Name Remote Code Execution

참고자료

F5 PoC 설명 : https://devcentral.f5.com/articles/thinkphp-5x-remote-code-execution-vulnerability-32902

Trend Micro 분석 : https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/

출처 : https://www.zdnet.com/article/chinese-websites-have-been-under-attack-for-a-week-via-a-new-php-framework-bug/#ftag=RSSbaffb68

요약

- Sandboxescaper 발표 (3번째 제로데이 발표)

- 취약점 : 임의의 파일 읽기 취약점으로 권한이 낮은 사용자 또는 악성 프로그램이 관리자 권한으로만 읽을 수 있는 파일들을 읽을 수 있음. 

             ‘MsiAdvertiseProduct’ 함수에 취약점 존재 

(*MsiAdvertiseProduct: 광고 스크립트, 제품 광고를 컴퓨터에 생성하거나 인스트롤러로 레지스트리에 스크립트와 제품에 할당되는 바로가기 정보를 만듦) 설치 서비스를 이용해 SYSTEM 권한으로 어떤 파일이든지 복사가 가능하고 읽기가 가능함.

- 취약원인 : 부적절한 검증

*첫번째 제로데이 코드를 Microsoft에 알리지 않은 채로 공개해 Github 계정 접근 권한을 잃음.

*FBI의 소환장에 따라 구글이 Sandboxescaper의 계정 정보를 제공함(제로데이 코드를 무단 배포한 것과 관련이 있거나 혹은 트위터에 미국 대통령을 위협한 것 때문이라는 추측만 무성)

관련 CVE정보

- 현재(2018 12.21 10:40) 없음

- PoC : 개시 후 Github 계정이 블락된 상태

- 재현 동영상 : https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

참고자료

Sandboxescaper 블로그: https://sandboxescaper.blogspot.com/2018/12/readfile-0day.html

출처: https://thehackernews.com/2018/12/windows-zero-day-exploit.html

 https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

요약

- 취약점 : ASA 소프트웨어의 인증 서브시스템에 취약점 존재. 인증되었지만 권한이 없는(level 0, 1) 원격 공격자가 웹 메니지먼트 인터페이스를 이용해 권한이 필요한 행위가 가능.

공격자는 level0,1의 권한없는 사용자로 취약 장비에 HTTPS를 통해 특정 HTTP 요청을 보내 공격.

장비에서 설정 파일을 실행 등을 포함한 파일 취득, 소프트웨어 이미지를 업로드, 또는 이미지 교체가 가능함.

- 취약원인: 웹 메니지먼트 인터페이스를 사용할 때 사용자 권한을 부적절하게 인증

- 해당제품 : 웹 메니지먼트 접근이 가능한 Cisco ASA Software를 사용 하는 모든 Cisco장비 

- CVSS Score : Base Score : 8.1

- 대응방안 : 해당하는 버전으로 업그레이드 

Cisco ASA Software 9.1이하, 9.21, 9.31 : 9.4.4.29 버전으로 교체

Cisco ASA Software 9.4버전 :  9.4.4.29으로 업그레이드

Cisco ASA Software 9.51, 9.6  : 9.6.4.20 버전으로 교체

Cisco ASA Software 9.71 : 9.8.3.18 으로 교체

Cisco ASA Software 9.8 : 9.8.3.18 버전으로 업그레이드

Cisco ASA Software 9.9 : 9.9.2.36 버전으로 업그레이드

Cisco ASA Software 9.10 : 9.10.1.7 버전으로 업그레이드

*9.4, 9.5, 9.7 : 소프트웨어 유지 보수기간이 종료 되었으므로 다른 버전으로 교체해야 함.

관련 CVE정보

CVE-2018-15465 

참고자료

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181219-asa-privesc

출처: https://www.tenable.com/blog/privilege-escalation-flaw-discovered-in-the-cisco-adaptive-security-appliance

요약

- NASA(the United States National Aeronautics and Space Administration) 의 사회보장 번호를 포함한 개인정보를 저장하는 서버 중 

  최소 1대가 해킹을 당해 현,前직원 개인정보 유출

- 10월23일 2대의 서버에 임의의 공격자가 접근한 것을 발견하고 조사에 착수.

- 2016년 7월부터 2018년 10월사이 근무한 직원의 데이터가 유출된 것으로 추정(약 17,300명)

NASA는 2016년 해킹 그룹에 의해 276GB에 달하는 민감한 정보(운행 로그와 직원 개인정보)가 유출된 사건 있었음

당시 해커는 주행 도로를 리라우팅해 2억2,200만 달러에 달하는 드론의 접근 권한을 획득해 태평양에 추락하도록 시도함 

영향성

미국 국방성 탄도미사일 보안에 이어, 또 다른 기관의 보안 관련 사고로 이슈가 되고 있음 

참고자료

출처: https://thehackernews.com/2018/12/nasa-hack-data-breach.html

요약

- Google Threat Analysis Group 발견

- 해당 취약점을 이용한 다수의 공격이 탐지돼 패치 필요.

- 취약점 : 스크립팅 엔진이 Internet Explorer의 객체를 메모리상에서 처리하는 방식에 원격 코드 실행 취약점 존재.  

웹 기반의 공격으로 사용자를 악성 사이트에 접속하도록 유도해, 접속 시 취약점 이용 공격 가능. 

원격 공격자는 사용자 권한을 이용해 시스템에 임의의 코드를 실행, 또는 메모리에 손상을 입힐 수 있음

공격자는 프로그램을 설치, 데이터 읽기, 변경, 삭제, 사용자 권한을 모두 가진 새로운 계정을 생성 가능.

-해당제품 : 

Internet Explorer 11 - Windows 7 ~ Windows 10, Windows Server 2012, 2016, 2019

Internet Explorer 10 - Windows Server 2012

Internet Explorer 9 - Windows Server 2008

- CVSS Score : Base Score : 7.5

- 대응방안 : 해당 버전 패치 또는 jscript.dll 파일에 대한 모든 그룹의 권한을 수동으로 제거

(윈도우자동업데이트 기능이 켜져 있을 시, 이미 패치 됨.)

악성코드제거

https://malwarecomplaints.info/remove-cve-2018-8653-exploit/

https://howtoremove.guide/remove-cve-2018-8653-exploit/

시만텍 툴이용: https://us.norton.com/online-threats/exp.cve-2018-8653-2018-122007-1112-99-writeup.html

관련 CVE정보

-현재(2018 12.20 10:10) 없음

탐지룰 존재유무

- 맥아피

DAT - V2 DAT (9113), V3 DAT (3564) – Applies to products that consume DATs. 

Generic Buffer Overflow Protection (GBOP) - Signature ID – 428

UDS-HTTP: Microsoft Internet Explorer Use-After-Free Vulnerability (CVE-2018-8653)

(https://kc.mcafee.com/corporate/index?page=content&id=SNS1785&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

https://kc.mcafee.com/corporate/index?page=content&id=SNS1790&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US)

- 시만텍 attack signiture

Web Attack: Microsoft Internet Explorer CVE-2018-8653 Activity 

(https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=31236)

- Trend Micro

1009449 - Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2018-8653)

(http://apac.trendmicro.com/vinfo/apac/threat-encyclopedia/vulnerability/deep-security-center)

참고자료

Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653

출처: https://www.bleepingcomputer.com/news/security/microsoft-releases-out-of-band-security-update-for-internet-explorer-rce-zero-day/

  https://krebsonsecurity.com/2018/12/microsoft-issues-emergency-fix-for-ie-zero-day/

요약

- 트랜드 마이크로, 트위터를 이용한 스테가노그래피(Steganography) 공격 발견.

- 2017년에 생성된 트위터 계정으로 10/25, 26일 악성 밈(meme)을 트위트 함

- 공격방법 :

트위터에 포스팅한 이미지 파일에 ‘/print’ 명령어 은닉

감염된 컴퓨터를 스크린샷 해 전송하도록 함

악성코드는 Pastebin 포스팅으로부터 전송할 C&C주소 획득

획득한 정보를 공격자가 지정한 특정 URL 주소로 전송

- 악성코드 탑재 명령어

/print : 이미지 캡처

/processos :구동중인 어플린케이션이나 프로세서 정보 얻기

/clip : 사용자 클리보드의 정보 탈취

/docs : desktop, %AppData%, etc. 등의 사전에 전의된 폴더의 파일이름을 탈취 

/username : 감염된 장비의 사용자이름 탈취

- 영향성 : 악성코드를 어떻게 감염시키는지, 공격자의 정보 등은 알지 못함. 악성코드의 목적 또한 모호한 상태.

- 트랜드마이크로 보고서 발표 후, 12월 13일자로 트위터는 해당 계정 영구 삭제함

*지난해 러시아 해커가 브리트니 스피어스의 인스타그램 포스트를 이용해 악성 코드를 유포한 사례도 있음

▼ 악성 트위터 계정과 해당 악성 밈

탐지룰 존재유무

- 트랜드마이크로: TROJAN.MSIL.BERBOMTHUM.AA

참고자료

브리트니 스피어스 계정 이용 악성코드 유포:  https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/

트랜드마이크로 보고서: https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

출처: https://thehackernews.com/2018/12/malware-twitter-meme.html

  https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/

요약

- 미국 국방부 감사에 따르면(Department of Defense, DoD) 미국 탄도 미사일 방어 시스템(ballistic missile defense system, BMDS)의 보안이 매우 취약함.

- 의회의 요청에 따라 총 104의 국방부 중 무작위로 5곳을 선택해 감사

- 2차례에 걸쳐 비인가된 접근으로부터 탄도미사일방어시스템 보안 여부를 테스트 함.

- 감사 결과 : ""육군, 해군, 미사일방어국(MDA)는 미사일방어시스템 기술 정보를 처리, 저장, 전송하는 네트워크와 시스템을 보호하지 않음""

- 주요 취약점:

º 소프트웨어 보안 문제:

다단계 인증(multi-factor authentication) 없음

취약점 패치 안함 (3/5곳 : 네트워크 취약점 관련 패치 실패 (최대 28년전(1990) 취약점 패치 안됨)

º 물리적 보안 문제:

2/5곳 : 서버랙 열려있음 -> 비인가된 물리적 접근 가능

3/5곳 : 서버랙 잠금 장치 없음 -> 아무나 들어가서 악성 장비를 연결할 수 있음

º 이동식 미디어를 이용해 데이터 전송 시 암호화하지 않음

º IDS/IPS 장비 없음

º 백신 등 보안 장비 없음

º 데이터베이스 접근 권한 관리 부실

º MDA 빌딩 출입 감시 카메라 고장

º 빌딩 내 문들이 잠겨있지 않고 열려 있어 누구나 쉽게 접근 가능

*미국 탄도 미사일 방어 시스템(BMDS) :

미사일이나 미사일의 탄두를 목표물에 도달하기 전에 파괴하기 위하여 고안된 시스템을 일컫는다. 

이러한 시스템은 무기, 발사체 및 추적과 지시 레이더와 다양한 보조 시설들을 포함하는데, 동 시스템은 다양한 기술과 기법에 바탕을 둔다. 

[Ballistic missile defense system] (외교통상용어사전, 대한민국정부)

영향성

탄도미사일시스템의 보안이 매우 취약하다는 감사 보고서는 큰 파장을 불러 일으키고 있음

참고자료

감사보고서 원문: https://media.defense.gov/2018/Dec/14/2002072642/-1/-1/1/DODIG-2019-034.PDF

출처: https://www.securityweek.com/technical-data-us-missile-defense-system-lacks-adequate-protections-dod-says

       https://www.zdnet.com/article/us-ballistic-missile-systems-have-very-poor-cyber-security/#ftag=RSSbaffb68