해외 보안 트렌드

요약

- 취약점 : 낮은 권한으로 로그인한 원격 공격자는 평문 비밀번호를 포함한 관리자 정보를 획득 할 수 있음 

- 선행 조건 : Role Analyst와 같은 낮은 권한으로 로그인 필요

- 영향 받는 제품 : 

RSA Security Analytics 버전 10 : 10.6.6.0 이하 제품

RSA NetWitness Platform 버전 11 : 11.2.1.0 이하 제품 

- 대응방안 : 

RSA Security Analytics 버전 10 : 10.6.6.1 로 패치 

RSA NetWitness Platform 버전 11 : 11.2.1.1 로 패치 

관련 CVE정보

- CVE-2019-3724

- CVSS Base Score : 6.5

- PoC : https://seclists.org/fulldisclosure/2019/May/27

(1) Role Analyst와 같은 낮은 권한으로 로그인 후 URL(https://[host]/admin/system/whois/properties) 을 호출해 관리자 리소스에 접근 

(2) 위 URL에 접근하게 되면, 서버는 평문 비밀번호를 포함한 아래의 HTTP 응답값 반환 

HTTP/1.1 200 OK

Server: nginx

Date: [snip]

Content-Type: application/json;charset=UTF-8

Connection: close

X-Frame-Options: SAMEORIGIN

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: Thu, 01 Jan 1970 00:00:00 GMT

X-Content-Type-Options: nosniff

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

X-XSS-Protection: 1; mode=block

X-Frame-Options: SAMEORIGIN

Set-Cookie: [snip]

Content-Length: 795

{""success"":true,""data"":{""queryUrl"":""https://[snip]"",""authUrl"":""https://[snip]"",""userId"":""[snip]"",""pw"":""[snip]"",""allowedRequests"":100,""allowedRequestsInterval"":60,""queueMaxSize"":100000,""cacheMaxSize"":50000,""refreshInterval"":30,""waitForHttpRequests"":true,""settings"":{""query-url"":""https://[snip]"",""queue-max-size"":100000,""password"":""[snip]"",""allowed-requests"":100,""auth-url"":""https://[snip]"",""user-id"":""[snip]"",""refresh-interval-seconds"":{""seconds"":2592000,""milliSeconds"":2592000000},""cache-max-size"":50000,""wait-for-http-request"":true,""allowed-requests-interval-seconds"":{""seconds"":60,""milliSeconds"":60000}}}}

영향성

해당 버전 사용 그룹사는 신속한 패치 필요 

참고자료

출처 : https://community.rsa.com/docs/DOC-104202

  https://www.securityfocus.com/bid/108357

요약

- Cisco IOS XE : Cisco 사의 공통 OS로 유/무선, 통합, 코어, WAN 제품에 주로 사용 됨.

- 취약점 : Cisco IOS XE 소프트웨어의 웹 기반 유저인터페이스(Web UI)에 취약점으로 인해, 

             비인가 원격 접속자가 root 권한으로 내부 리눅스 쉘에서 명령어 실행이 가능함.

             유효한 관리자 계정에 대한 접근이 가능한 공격자가 웹 UI의 양식에 조작된 입력 매개변수를 제공한 후, 해당 양식을 제출하여 공격. 

- 취약원인 : 사용자 제공의 입력 값에 대한 부적절한 검정으로 인해 발생.  

- 선행조건 : 유효한 관리자 계정에 대한 접근이 가능해야 함.

- 영향 받는 제품 : Cisco IOS XE 소프트웨어를 사용하고 HTTP 서버 기능이 ‘사용가능’으로 설정돼 있는 경우.

- 대응방안 : 최신 버전으로 업데이트

관련 CVE정보

- CVE-2019-1862

- CVSS Base Score: 7.2

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

        https://threatpost.com/cisco-bugs-unpatched-millions-devices/144692/

요약

- Thrangrycat 공격 : 

Red Balloon Security 팀은 Field Programmable Gate Array(FPGA) 비트스트림을 조작해 구성요소 안팎으로 실행되는 요소를 통해 TAm 공격 방법 발견

두 개의 취약점(CVE-2019-1649. CVE-2019-1862)을 이용한 Cisco 장비에 백도어 삽입 공격 시나리오 발표 

*TAm : Intel사의 Software Guard Extensions(SGX) 상응하는 모듈임, 2013년부터 Cisco 장비의 보안 칩으로 사용 되고 있음. 

Trust Anchor Moduel(TAm)은 Cisco 장비에서 실행되고 로드되는 부트로더(bootloader) 인증을 암호확적으로 검증하는 외부의 하드웨적으로 독립된 구성 요소에서 실행 됨.

- 취약점 : 액세스 권한을 관장하는 TAm모듈에 취약점이 존재해, 로컬 공격자가 펌웨어의 이미지를 조작 가능.

- 선행조건 : 비트스트림 조작을 위해서는 장비의 root 접근 권한이 선행 되어야 함

- 공격 시나리오 :

(1) CVE-2019-1862 취약점 공격으로 root 권한 획득 (CVE-2019-1862 취약점 포스팅 참고)

(2) CVE-2019-1649 공격으로 Tam 부트 프로세스 검증 설정을 해제하거나 보안 업데이트가 불가하도록 설정 가능

(3) Cisco 펌웨어를 조작하여, 백도어 삽입.

- 영향 받는 제품 : FPGA 기반 Tam을 사용하는 모든 Cisco 장비

  영향 받는 제품 리스트 :  아래 링크 참고
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

- 대응방법 : 펌웨어 업데이트

관련 CVE 정보

- CVE-2019-1649

- CVSS Base Score: 6.7

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

   https://www.zdnet.com/article/thrangrycat-flaw-lets-attackers-plant-persistent-backdoors-on-cisco-gear/

   https://www.theregister.co.uk/2019/05/13/cisco_thrangrycat_vulnerability/

   https://threatpost.com/cisco-bugs-unpatched-millions-devices/144692/

요약

- Cisco Elastic Service Controller : 가상 네트워크 기능(Virtual Network Function, VNF)을 모두 컨트롤할 수 있는 

                                            종합 컨트롤러로 VM, 서비스 모니터링, 자동 복구, 다이나믹 스케일링 등의 기능을 제공. 

                                            ESC 사용자는 Cisco 제품에만 국한하지 않고, 전체 가상 환경 기능(VNF)에 대해 가상화된 자원의 

                                            모든 라이프 사이클의 조정이 가능함. 

- 취약점 : Cisco Elastic Service Controller의 REST API에 취약점이 존재해, 원격 공격자가 REST API의 인증을 우회할 수 있음.   

             원격 공격자가 특수하게 가공한 request를 REST API에 보내, REST API를 통해 관리자 권한으로 해당 시스템에 임의의 코드를 실행 할 수 있음

- 취약 원인 : API 요청 검증 미흡

- 취약한 버전 : Cisco Elastic Service Controller REST API 4.1-4.4, REST API 사용이 허용으로 설정된 경우 

                   *REST API는 기본설정은 '사용 불가'임

-대응방안 : 4.0버전으로 다운그레이드/4.5 버전으로 업그레이드/ 또는 각 버전 별 패치 필요

4.1 ->  4.1.0.100, 4.1.0.111

4.2 ->  4.2.0.74, 4.2.0.86

4.3 ->  4.3.0.121, 4.3.0.128, 4.3.0.134, 4.3.0.135

4.4 ->  4.4.0.80, 4.4.0.82, 4.4.0.86

※ 현재 해당 취약점을 이용한 공격은 목격되지 않음

관련 CVE정보

- CVE-2019-1867

- CVSS Score : 10/10

- PoC : 현재(2019.05.10 10:30) 없음

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

        https://www.networkworld.com/article/3394337/cisco-releases-a-critical-security-patch-for-a-virtualized-automation-tool.html#tk.rss_security

요약

- 취약점 :  GPS 추적 앱에 취약점이 존재해 자동차 도난 초래 및 일부 작동중인 차량의 엔진을 끌 수 있음. 

              초기 비밀번호를 통해 다수의 계정에 대한 접근 및 정보 유출 가능.

   (Google Play 앱스토어에 제공되는 데모 버전의 초기 비밀번호가 123456이며, API 비밀번호가 123456임을 설명서에 명시되어 있음)

- 취약 앱 : iTrack, ProTrack

*ProTrack : 웹 기반 GPS 추적 전문 소프트웨어. 실시간 추적 서비스를 차량 소유주에게 제공하는 소프트웨어로 전세적으로 널리 사용 되고 있음 

              (iTryBrand Technology(중국 선전)회사 제조 )

*iTrack : GPS 추적 보안 시스템, 차량 추적 시스템, 차량 보호, 차량 관리 시스템을 제공하는 앱 (SEEWORLD(중국 광저우)회사 제조)

*iTryBrand 와 SEEWORLD회사는 추적장비 하드웨어와 사용자가 직접 관리 할 수 있는 클라우드 플랫폼을 함께 판매함. 

- 테스트 과정: 

(1) 취약점 발견자(가칭 L&M)에 따르면 GPS 추적 장치를 통해 차량을 관리할 수 있는 약 7000개의 iTrack 계정과 20,000개의 

    ProTrack 계정 해킹에 성공했다고 밝힘

(2) 앱의 API를 통해 유저네임 및 초기 번호(123456, 계정 생성 시 부여받는 비밀번호) 이용 Brute-force 방법으로 접근 성공. 

     일부 배포사의 계정 접근에도 성공 

(3) 접근 성공으로, 남아프리카, 모로코, 인도, 필리핀 등의 세계 각지의 차량에 추적할 수 있다고 주장.

(4) 테스트에 사용한 GPS 장비 이름, 모델, 장비 일련번호(IMEI번호), 유저네임, 아이디 소유주 이름, 전화번호, 이메일주소, 

    주소 등의 정보 또한 얻을 수 있었다고 함.

    (이를 토대로 Motherboard지는 4명의 실제 앱 사용자에게 연락을 취해 테스트 성공 여부를 확인)

(5) 실제 자동차 엔진을 끄거나 어떻게 구현이 가능한지는 밝히지 않음 

- GPS 추적 장비 제조사 Concox에 따르면 추적 앱 사용자들은 20km/h 이하의 속도로 주행 시 원격으로 엔진을 끌 수 있다고 밝힘.

- ProTrack 앱 사용 회사인 남아프리카회사 Probotik System의 대표는 엔지니어가 추적 장비를 설치 시 ‘엔진 끄기 기능’을 ‘사용 가능’으로 

  설정할 시 공격이 가능하다고 밝힘.

 - 대응 : ProTrack은 이메일을 통해 데이터 유출에 대해 부인했으나, 사용자들에게 비밀번호를 바꾸도록 권고함.

Google Play 앱스토어에서 데모 앱을 다운받을 시 비밀번호를 변경하라는 안내메시지를 현재 추가한 상탬.

참고자료

출처 : https://motherboard.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

        https://gbhackers.com/gps-tracking-apps/

요약

- 최초 발견 : 4월 17일 중국 정부 취약점 데이터베이스에 등재(CNVD-C-2019-48814- http://www.cnvd.org.cn/webinfo/show/4989)

- 취약점 :wls9_async 와 wls-wsat 요소에 취약점 존재해 역직렬화 원격 명령어 실행이(Unauthenticated remote command execution-RCE) 가능. 

            공격자는 인증없이 원격으로 명령어 실행 공격이 가능.

- 공격시나리오 : 

(1) 공격자는 특수하게 가공한 XML 리퀘스트를 WebLogic 서버에 보냄.

(2) XML 리퀘스트는 서버가 코드를 실행하도록 하는데, 이 코드는 지정된 악성 호스트에 접속하고, 리퀘스트를 완료하도록 지시함.

(3) WebLogic 서버는 추가 공격 지시가 담긴 XML 리스판스를 악성 호스트로부터 받게 됨.

- 취약원인 : SANS ISC handler Rob VandenBrink에 따르면 취약 WAR 요소들이 모든 직렬화된 데이터를 받아 처리함과 동시에 

                “나쁜” 정보들의 블랙리스트도 함께 가지고 있어 취약점 존재.

                (따라서 이와 유사한 다른 취약점 존재 가능성이 높음)

- 선행조건 : wls9_async_response.war 과 wls-wsat.war 요소가 사용가능으로 지정

- 영향받는 제품 : WebLogic Server 버전 10.3.6.0.0, 12.1.3.0.0

- 대응방법 

(1) Fusion Middleware 패치 업데이트 

(2) WAR 패키지(wls9_async_response.war, wls-wsat.war) 를 삭제하고 Weblogic service 재시작

(3) /_async/* 와 /wls-wsat/* URL 패스 접근 제한

- 영향성 : 현재 해당 취약점을 이용한 공격이 성행 중임. 

관련 CVE정보

- CVE-2019-2725

- CVSS Base Score : 9.8

- PoC :  https://www.anquanke.com/post/id/177381 

           https://github.com/No4l/MyTools

- 재현 : https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

탐지룰 존재유무

(TrendMicro) 

Deep Packet Insepection Rules :

- 1009707 - Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

참고자료

출처 : https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

        https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

        https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

요약

- Docker Hub : Docker 컨테이너 이미지 공식 레파지토리

- 2019년 4월25일, 전체 사용자 중 5%에 달하는 약 190,000 Docker Hub 사용자 정보가 비인가 사용자에게 유출됨.

- 유출 정보 : 유저네임, 해시화된 암호, GitHub 과 Bitbucket 레파지토리 접근에 필요한 토큰 (Docker 오토빌드(autobuild) 시 사용됨)

- 영향성 : 유출된 계정의 수가 작은 편. 하지만, 대다수의 Docker Hub 사용자들이 대기업 소속의 개발자들로 실제 생산 환경에서 

              사용되고 있는 컨테이너들에 대한 오토빌드 기능을 사용하는 계정 정보가 유출 되었을 가능성이 높음..

              취득한 토큰 정보를 이용해 개인 레파지토리에 접근 또는 토큰의 권환에 따라 코드 수정까지 가능. 

- Docker 웹사이트에서 공식적인 데이터 유출에 대해서는 언급하지 않음. 사용자들에게 토큰 리셋 또는 암호 재설정을 권고하는 이메일을 발송한 상태.

참고자료

출처 : http://www.ehackingnews.com/2019/04/docker-hub-hack-exposes-sensitive-data.html?utm_source=dlvr.it&utm_medium=twitter

        https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/

요약

- 선행조건 : enableCmdLineArguments 기능 사용이 허용, 운영체자가 Windows인 경우

- 취약점 : JRE가 코맨드 라인 인수를 Windows로 전달하는 과정 중 발생하는 오류로 인해 CGI(Command Gateway Interface) 서블릿에 원격 코드 실행 취약점 존재. 

원격 공격자는 특수하게 가공한 요청을 보내 시스템에 임의의 코드를 실행 할 수 있음.

- 영향받는 제품 : Windows에서 운영되는 

Apache Tomcat 7.0.0 – 7.0.93

Apache Tomcat 8.5.0 - 8.5.39

Apache Tomcat 9.0.0.M1 - 9.0.17

- 대응방안 : Tomcat 최신 버전으로 업그레이드 또는 업그레이드가 불가능할 경우 enableCmdLineArguments 기능 사용하지 않음으로 설정

Apache Tomcat 9.0.18 또는 최신 버전으로 업그레이드

Apache Tomcat 8.5.40 또는 최신 버전으로 업그레이드

Apache Tomcat 7.0.94 또는 최신 버전으로 업그레이드  

*Tomcat 9.0.X 버전 enableCmdLineArguments 기본 설정은 ‘허용하지 않음’

관련 CVE정보

- CVE-2019-0232

- CVSS 3.0 Base Score : 9.8

- PoC : 

    https://packetstormsecurity.com/files/153506/Apache-Tomcat-CGIServlet-enableCmdLineArguments-Remote-Code-Execution.html

    https://github.com/pyn3rd/CVE-2019-0232

-Metasploit : https://www.rapid7.com/db/modules/exploit/windows/http/tomcat_cgi_cmdlineargs

- 재현 영상 : https://twitter.com/4chr4f2

영향성

취약 버전 사용 시 신속한 업데이트 및 조치 필요

참고자료

출처 : http://mail-archives.apache.org/mod_mbox/www-announce/201904.mbox/<13d878ec-5d49-c348-48d4-25a6c81b9605@apache.org

   https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

   https://wwws.nightwatchcybersecurity.com/2019/04/30/remote-code-execution-rce-in-cgi-servlet-apache-tomcat-on-windows-cve-2019-0232/

윈도우 코맨드 라인 삽입 : https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html

잘못된 코멘드 라인 인수 사용 : https://web.archive.org/web/20161228144344/https://blogs.msdn.microsoft.com/twistylittlepassagesallalike/2011/04/23/everyone-quotes-command-line-arguments-the-wrong-way/