해외 보안 트렌드

요약

- 취약점 :  FileReader 요소의 Use-After-Free 취약점이 발생해 비인가 원격 공격자는 Chrome 웹 브라우저의 권한을 얻고, 이를 이용해 샌드박스를 벗어나 임의의 코드를 실행할 수 있음.

공격자가 특수하게 제작한 웹 페이지를 사용자가 열거나, 해당 웹페이지로 리다이렉트 될 시 해당 취약점을 이용한 공격이 가능..

- *Use-After-Free(UAF)취약점 : 비인가 사용자가 취약 시스템/소프트웨어에서 권한 상승이 가능하도록 메모리의 데이터를 손상시키거나 

                                        변조를 일으키는 메모리 손상 취약점.

*FileReader : 일반적인 API로 웹 어플리케이션이 ‘File’ 또는 ‘Blob’객체를 이용해 읽고자 하는 파일/데이터를 특정함. 

                 사용자의 컴퓨터에 저장된 파일 또는 로우 데이터 버퍼의 내용을 비동기식으로 읽을 수 있도록 디자인 됨. 

- 해당 제로데이 취약점을 이용해 Chrome 사용자에 대한 공격이 활발히 이루어지고 있음

- 영향 받는 제품 : Windows, Mac OS, Linux 사용 Google Chrome 

- 대응방안 : Chrome update 72.0.3626.121 또는 최신버전으로 업데이트

관련 CVE정보

- CVE-2019-5786

- CVSS 3.0 Score : 8.8

- PoC : 현재(2019.03.07 16:30) 없음

영향성

크롬 브라우저 사용 고객사는 신속한 패치 필요

참고자료

Chrome : https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

출처 : https://thehackernews.com/2019/03/update-google-chrome-hack.html

https://www.bleepingcomputer.com/news/security/google-chrome-update-patches-zero-day-actively-exploited-in-the-wild/

요약

(1) 연대별 주요 사건

º 2014년 김정은 풍자 영화,’The Interview’에 대한 보복성 Sony Pictures Entertainment 해킹 : 개봉 전 영화 유출, 경영진 이메일 유출

                                                                                                                        (2016년 선거에 유출자료 큰 파장을 일으킴)

º 2017년 – 트럼프, 김정은 “로켓 맨”이라고 조롱함

º 2017년 초 (북미관계-냉각) 북한은 미국의 은행, 유류, 가스 회사, 공공 단체를 대상으로 공격 펼침.

º 2018년 2월 평창 동계올림픽 – 평창 올림픽 홈페이지, 중계 드론, 텔레비전 방송, 티켓 발매기 공격으로 일시 작동 중지

º 2018년 5월 29일 – Hidden Cobra : Joanap 백도어 Trojan과 SMB 웜 Brambul이용 공격 

º 2018년 6월12일 1차 싱가포르 북미정상회담 : 완전한 비핵화, 평화체제 보장, 북미 관계 정상화 추진, 6.25전쟁 전사자 유해송환 합의

    미사일 발사 테스트 중단했으나 미국에 대한 사이버 공격은 멈추지 않음. 

    100곳 이상의 미국과 동맹 국가 회사 공격

    남아프리카국가 나미비아를 출발지로 터키 회사 추가적으로 공격 

    (*나미비아 : 평양과 우호적 관계를 유지중)

º 2018년 10월경 – Sharpshooter 공격 : Dropbox를 이용해 악성 매크로가 삽입된 MS Word 문서로 악성코드 배포

º 2019년 2월27일 2차 하노이 북미정상회담 :  결렬

(2) 공격 목적 : 뚜렷하지 않음. 공격 대상이 엔지니어, 경영진, 회사 네트워크, 지적 재산 등 광범위 함.

(3) 주요 공격지  

º 미국 :휴스턴 – 오일, 가스 허브, 뉴욕 – 금융 허브

º 기타

영국 – 런던

에스파냐 – 마드리드

일본 – 도쿄

이스라엘 – 텔아비브

이탈리아 – 로마

태국 – 방콕

타이완 – 타이베이

한국 – 서울

중국 - 홍콩

º 북한과 우호적인 관계에 있는 러시아와 중국은 공격에서 제외된 것으로 보임

영향성

북한 해킹 그룹은 소니 픽쳐스 해킹사건 이 후로 매우 활발한 활동을 펼치고 있음

참고자료

출처 : https://www.nytimes.com/2019/03/03/technology/north-korea-hackers-trump.html

   https://thehackernews.com/2019/03/north-korea-hacking.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

   https://www.bleepingcomputer.com/news/security/op-sharpshooter-connected-to-north-koreas-lazarus-group/

   https://www.nytimes.com/2018/02/12/technology/winter-olympic-games-hack.html?module=inline)

요약

- CVE-2019-163 : 웹 기반 RV110W 무선-N VPN Firewall, RV130W 무선-N Multifunction VPN, RV215W 무선-N VPN 라우터 관리 인터페이스에 

                       취약점이 존재. 비인가 공격자는 악성 HTTP 요청을 취약 장비에 보내 해당 장치의 운영체제에 높은 사용자 권한으로 원격 코드 

      실행 가능.

- Rapid7의 스캔에 따르면 취약한 장비는 현재 12,000 대이며 미국, 캐나다, 인도, 아르헨티나, 폴란드, 로마니아에 주로 분포

- 보안업체 Bad Packets는 2019. 3/1일 취약장비를 찾기위해 ‘login.cgi’ 스캔 활동이 탐지됐다고 보고.

- 취약점 악용 요인 :

영향 받는 제품은 모두 WiFi 라우터로 소규모 사업체와 가정에서 사용되어 신속한 패치가 이루어지지 않고 있음

취약점 및 패치 발표 1일 후, 취약 장비를 스캔하고 공개된 POC를 이용한 공격이 포착 됨

고급 코딩 스킬이나 복잡한 공격 절차가 필요 없음. 

인터넷을 통해 원격으로 공격이 가능

- 공격 패턴 : Pen Test Partner이 발표한 취약점 분석 예제를 이용한 공격 

                 (https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/)

관련 CVE정보

- CVE-2019-1663

- CVSS 3.0 Score : 9.8

- PoC : https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/

참고자료

Cisco : https ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

출처 : https://www.zdnet.com/article/hackers-have-started-attacks-on-cisco-rv110-rv130-and-rv215-routers/#ftag=RSSbaffb68

   https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/

요약

- 취약점 : 웹 기반 RV110W 무선-N VPN 방화벽, RV130W 무선-N Multifunction VPN, RV215W 무선-N VPN 라우터 관리 인터페이스에 

             취약점이 존재. 비인가 공격자는 악성 HTTP 요청을 취약 장비에 보내 해당 장치의 운영체제에 높은 사용자 권한으로 원격 코드 실행 가능.

- 취약원인 : 웹 기반 관리 인터페이스에 사용자가 제공하는 데이터에 대한 검증이 미흡하여 발생

- 영향 받는 제품 

º RV110W Wireless-N VPN 방화벽

º RV130W Wireless-N Multifunction VPN 라우터

º RV215W Wireless-N VPN 라우터

*위 장비의 웹 기반 관리 인터페이스는 로컬 LAN연결 또는 원격 관리 기능을 통해 접근 가능. 기본으로 원격 관리 기능은 사용불가로 설정되어 있음

-대응방안 : 최신 버전으로 소프트웨어 업데이트

º RV110W Wireless-N VPN 방화벽 : 1.2.2.1 버전으로 업데이트

º RV130W Wireless-N Multifunction VPN 라우터 : 1.0.3.45 버전으로 업데이트

ºRV215W Wireless-N VPN 라우터 : 1.3.1.1 버전으로 업데이트

관련 CVE정보

- CVE-2019-1663

- CVSS 3.0 Score : 9.8

- PoC : 현재(2019.02.28 11:10) 없음

참고자료

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

요약

- 신규 Drupal 취약점 발표 3일 후, 해당 취약점을 이용해 가상화폐 채굴, 기타 공격 구문 전송 움직임 포착  

- Drupal은 미흡한 대응방안에 대해 추가(*로 표시) 권고 사항을 발표 

  *모든 Drupal 8 core RESTful 웹 서비스 모듈이 사용 가능으로 설정돼 있을 시 취약

  *(GET 요청만 허용된 경우도 취약)

- 업데이트(*로 표시)된 대응 방안 : 

(1) 버전 업데이트 

1) Drupal 8.6.x -> Drupal 8.6.10

2) Drupal 8.5.x -> Drupal 8.5.11

3) Drupal core 업데이트 후 연관 프로젝트에 대한 보안 업데이트 실시

4) Drupal 7에 대한 core 업데이트는 불필요하나, 일부 Drupal 7관련 모듈은 업데이트가 필요함

Cf. Drupal 8.5.x 이전 버전의 Drupal 8은 서비스가 종료되어 관련 보안 서비스 제공 없음

(2) 즉각적인 대응

1) 모든 웹 서비스 모듈의 사용 불가능으로 설정

2 )웹 서비스 리소스에 대한 *GET/PUT/PATCH/POST 요청이 불가능으로 웹 서버를 설정.

관련 CVE정보

- CVE-2019-6340

- PoC : https://gist.github.com/leonjza/d0ab053be9b06fa020b66f00358e3d88/f9f6a5bb6605745e292bee3a4079f261d891738a

- 취약점 분석 : https://www.ambionics.io/blog/drupal8-rce

탐지룰 존재유무

IBM : HTTP_Drupal_Unserialize_Exec

영향성

취약버전 사용 시 반드시 업데이트 혹은 웹 서비스 리소스 설정 변경 필요

참고자료

Drupal : https://www.drupal.org/sa-core-2019-003

출처 : https://www.imperva.com/blog/latest-drupal-rce-flaw-used-by-cryptocurrency-miners-and-other-attackers/

  https://www.securityweek.com/drupal-rce-flaw-exploited-attacks-days-after-patch

  https://thehackernews.com/2019/02/drupal-hacking-exploit.html

요약

- 신규 WinRAR 압축파일 원격 코드 실행 취약점 공개 5일 후, 해당 취약점 공격을 통해 백도어를 제공하는 악성 메일 배포 포착

- 악성파일 정보

(1) Zip로 압축되어 있으며, 실행 시 “CMSTray.exe”를 Windows 시작폴더에 생성

(2) 멕시코 소재의 IP주소와 연결 되어 있으며, 해당 IP에서 Cobalt Strike Beacon 모의해킹 툴을 다운로드 함.

(3) 현재까지 총 4 종류의 악성 ACE파일이 이메일로 배포되고 있는 것이 확인 됨

- 허위 송장, 배송 문서, 주문서, 은행 서류 

- 대응방안 

(1) ACE 파일 형식 지원이 필요 없을 경우 : 공식 WinRAR 5.70 으로 업데이트 

    (https://www.win-rar.com/start.html?&L=0)

  * 최신 WinRAR 5.70 은 취약 원인인 unacev2.dll 라이브러리와 ACE 지원을 중단.

(2) ACE 파일 형식 지원이 필요한 경우 혹은 업그레이드가 불가능한 경우 : 0patch.com 에서 제공하는 비공식 패치 사용

   (https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html)

관련 CVE정보

- CVE-2018-20250

- PoC : https://github.com/Ridter/acefile

영향성

취약함 WinRAR 버전 사용 시, 반드시 업그레이드 실시

참고자료

Tenable 취약점 분석: https://www.tenable.com/blog/winrar-absolute-path-traversal-vulnerability-leads-to-remote-code-execution-cve-2018-20250-0

Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

WinRAR 공식 패치 : https://www.win-rar.com/start.html?&L=0

0patch.com 마이크로 패치 : https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html

출처 : https://thehackernews.com/2019/02/winrar-hacking-exploit.html

        https://www.securityweek.com/hackers-exploit-winrar-vulnerability-deliver-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

요약

- 개인 보안 평가 연구원(Independent Security Evaluators(ISE)들에 따르면 윈도우 기반의 유명 패스워드 매니저 프로그램에 취약점 존재

- 취약한 제품 : Dashlane, LastPass, 1Password, KeePass (해당 제품들을 사용하는 총 사용자 수는 6000만명에 육박, 93,000개의 사업체가 사용 중)

- 보안성 : 

(1) 패스워드 관리 프로그램이 구동 하지 않을 시 : 패스워드들이 안전하게 보호됨

(2) 패스워드 관리 프로그램 구동 중 / 잠금 모드 중 : 키로깅 혹은 클립보드 스니핑을 통해 마스터 패스워드와 다른 패스워드 탈취가 가능

(3) 마스터 패스워드가 유출 될 시 : 공격자는 로그인 정보가 저장된 패스워드 매니저 DB를 쉽게 해독할 수 있음.

(4) LastPass, 1Password, Dashlane 경우 

    PC의 RAM을 목표하거나 다른 일반적인 메모리 포렌식 방법을 사용하여 개인 정보와 평문 마스터 패스워드 획득이 가능함. 

    (선행조건 : spyware 수준의 멀웨어를 PC에 감염 시키고, admin 권한을 탈취)

- 대응 방안 : 

(1) 패스워드 매너지 프로그램을 사용하지 않을 시, 올바르게 프로그램을 종료

(2) 전체 디스크 암호화 실시

영향성

프로그램이 구동/잠금 모드 중 취약점이 발생함으로, 불필요한 경우 반드시 프로그램 종료

참고자료

보고서원문: https://www.securityevaluators.com/casestudies/password-manager-hacking/

출처 : https://www.hackread.com/password-managers-flaws-hackers-steal-clear-text-passwords/

요약

- Drupal : 오픈소스 CMS(Content Management System, 콘텐츠 관리 시스템)로 블로그, 사기업, 공공기관 등 다양한 분야에서 사용되고 있음.

- 취약점 : 일부 필드 형식들이 데이트 검증을 적절하지 않아, 공격자가 임의의 PHP 코드 실행이 가능.

- 영향 받는 경우 : 아래의 조건 중 최소 하나의 조건을 충족 시 취약

(1) Drupal 8 core RESTful 웹 서비스 모듈이 사용가능 하며 PATCH 혹은 POST 요청이 가능한 경우

(2) Drupal 8 core RESTful 웹 서비스 모듈이 사용가능 하며, 해당 사이트가 다른 웹 서비스 모듈 사용 또한 가능한 경우 

    (ex. Drupal 8의 JASON:API, Drupal 7의 서비스 혹은 RESTful 웹 서비스)

- 영향 받는 제품 : Drupal Drupal 8.5.0 - 8.5.10, Drupal Drupal 8.6. 1 - 8.6.9 

- 대응 방안 : 

(1) 버전 업데이트 

1) Drupal 8.6.x -> Drupal 8.6.10

2) Drupal 8.5.x -> Drupal 8.5.11

3) Drupal core 업데이트 후 

4) Drupal 7에 대한 core 업데이트는 불필요하나, 일부 Drupal 7관련 모듈은 업데이트가 필요함

* Drupal 8.5.x 이전 버전의 Drupal 8은 서비스가 종료되어 관련 보안 서비스 제공 없음

(2) 즉각적인 대응

1) 모든 웹 서비스 모듈의 사용 불가능으로 설정

2) 웹 서비스 리소스에 대한 PUT/PATCH/POST 요청이 불가능하다고 웹 서버를 설정.

관련 CVE정보

- CVE-2019-6340

- CVSS 3.0 Score : 9.8

- PoC : 현재(13:40) 없음

참고자료

Drupal : https://www.drupal.org/sa-core-2019-003

출처 : https://www.zdnet.com/article/winrar-versions-released-in-the-last-19-years-impacted-by-severe-security-flaw/#ftag=RSSbaffb68

  https://www.securityfocus.com/bid/106948