Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 28일] 주요 보안 이슈
작성일 2018-09-28 조회 851

1. [기사] Local-Privilege Escalation Flaw in Linux Kernel Allows Root Access
[https://threatpost.com/local-privilege-escalation-flaw-in-linux-kernel-allows-root-access/137748/]

리눅스 커널의 권한 상승 취약점이 Red Hat Enterprise Linux와 CentOS 모든 버전에 영향을 미친다고 밝혔다. 전체 관리자 권한을 얻어 추가적인 공격으로 시스템을 완전히 손상시킬 수 있다. 이 취약성은 32GB 이상의 메모리를 가진 영향을 받는 64비트 시스템에서 매우 쉽게 공격 가능하다. 또한 Debian의 "oldstable"에 영향을 미친다. 
특별한 권한이 필요없어 사용자 이름/암호 추측 또는 원격 코드/명령 실행을 통해 시스템에 접근하여 취약점을 악용할 수 있다. 여기서 접근의 의미는 루트가 아닌 사용자 또는 원격으로 액세스할 수 있는 서비스 계정과 같은 셸에 대한 권한 없는 액세스만 해당된다. 
이 취약성은 Linux 커널의 create_elf_tables() 함수의 정수 오버플로에서 발생한다고 말했다. 이러한 종류의 취약성은 종종 다른 종류의 공격과 함께 사용된다. 가능한 경우 커널을 패치된 버전으로 업그레이드하도록 권고했다.  다른 방법은 모든 사용자와 시스템 사용자에 대한 "RLIMIT_STAK" 리소스 제한을 낮추는 것이다. 


2. [기사] Weakness in Apple MDM Tool Allows Access to Sensitive Corporate Info
[https://threatpost.com/weakness-in-apple-mdm-tool-allows-access-to-sensitive-corporate-info/137737/]

애플 장치 등록 프로그램의 인증 취약성이 와이파이 암호 및 VPN 구성을 사용하게 한다. 연구에 따르면, 2차 인증 없이도 애플의 모바일 기기 관리(MDM) 등록에 대한 장치 등록 프로그램(DEP)을 사용하는 기업들은 정보 유출과 공격의 위험에 처해 있다고 한다. 
MDM은 여러 공급업체가 제공하는 일반적인 엔터프라이즈 기술로, 기업에서 직원의 모바일 기기 사용을 관리하는 데 사용된다. DEP는 iOS, MacOS, TVOS 기기 MDM을 쉽게 등록할 수 있도록 설계된 Apple 서비스이다. 그러나 DEP는 조직의 MDM 서버에 장치를 등록하기 위해 일련 번호만 필요하며, 이는 공격자가 악성 장치를 시스템에 등록할 수 있음을 의미한다. 등록된 장치는 "신뢰할 수 있는" 장치로 취급되며 장치 및 사용자 인증서, VPN 구성 데이터, 등록 에이전트, 구성 프로필 및 기타 다양한 정보 액세스에 사용할 수 있다. 이 취약성의 해결 방법은 MDM 서버 자체에서 인증에 대한 추가 요구 사항을 구현하여 장치 등록이 시리얼 넘버에만 의존하지 않게 하는 것이다. 또한 사용자는 "신뢰도가 0인" 접근 방식을 채택하여 DEP에 등록된 장치에 대한 권한 수준을 줄일 수 있다.


3. [기사] Uber agrees to pay $148 million in massive 2016 data breach settlement
[https://securityaffairs.co/wordpress/76587/security/uber-data-breach-settlement.html]

2017년 11월, Uber CEO인 Dara Khosrowshahi는 해커들이 회사의 데이터베이스에 침입하여 5700만 명의 사용자들의 개인 데이터(이름, 이메일 주소, 휴대폰 번호)에 액세스했다고 발표했다. 또한 약 60만 명의 운전 면허증에 접속했다. 2016년에 일어난 이 공격은 회사 개발팀이 사용하는 개인 GitHub 사이트에서 크레덴셜을 가로채는 쉬운 공격이었다고 블룸버그 통신은 말했다. 해커들은 Uber를 협박하려고 했고 도난 당한 데이터를 공개하지 않는 대가로 회사에 10만 달러를 요구했다. 따라서 고객에게 침해 사실을 알리지 않고 금액을 지불하여 증거를 없앴고, 지불액은 버그 포상금으로 위장되었다. FTC는 2017년에 회사의 개인정보 보호 및 데이터 보안 관행으로 고객을 속인 데 대해 이 회사를 고발했다.
합의서에 따르면, Uber는 소비자 데이터에 영향을 미치는 향후 위반 사항을 공개하고 개인 정보 보호를 위한 주 소비자 보호법을 준수해야 한다. 


4. [기사] APT28 Uses LoJax, First UEFI Rootkit Seen in the Wild
[https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/]

UEFI(Unified Extensible Firmware Interface)에 대한 루트킷의 첫 번째 증거를 발견했다. Sednit, Fancy Bear, APT28, Strontium 및 Sofacy라는 이름으로 인포섹 커뮤니티에서 알려진 위협은 시스템의 UEFI에 악의적인 구성 요소를 쓸 수 있다. 
ESET에 따르면 공격자는 대상 컴퓨터의 SPI 플래시 모듈에 루트킷을 포함시켜 운영 체제의 재설치뿐만 아니라 하드 드라이브를 교체할 때도 공격을 계속할 수 있다. 연구원들은 올해 초 발견된 로잭 도난 방지 소프트웨어의 악의적인 샘플의 이름을 따서 이 루트킷을 로잭스라고 명명했다. 로잭스 공격의 대상이 된 시스템에서 UEFI/BIOS 설정에 액세스하고 패치를 적용할 수 있는 다양한 도구를 찾았다고 밝혔다. 
시스템 펌웨어에 의해 로드된 모든 구성 요소가 유효한 인증서로 서명되었는지 확인하는 Secure Boot 메커니즘을 활성화하면 LoJax 감염으로부터 보호할 수 있다. 또 다른 방법은 MotherBoard에서 제공하는 최신 펌웨어 버전이 있는지 확인하는 것이다. 로잭스가 오래된 칩셋에 영향을 미치기 때문에 MotherBoard를 새로운 세대로 교체하는 것도 대안이 될 수 있습니다. 


5. [기사] ThreatList: Hackers Turn to Python as Attack Coding Language of Choice
[https://threatpost.com/threatlist-hackers-turn-to-python-as-attack-coding-language-of-choice/137757/]

공격 도구 또는 PoC를 포함하는 GitHub 저장소의 20% 이상이 파이썬으로 작성되었음이 밝혀졌다. 파이썬은 최근 세계에서 가장 널리 사용되는 코딩 언어가 될 것으로 널리 알려졌으며, black hats까지 확장했다. GitHub의 거의 모든 보안 관련 주제에서 저장소의 대부분은 w3af, Sqlmap, 심지어 악명 높은 AutoSploit 도구를 포함하여 Python으로 작성된다고 말했다. 웹 공격에 가장 많이 사용되는 두 개의 Python 모듈은 Urlib와 Python Requests이며, 또한 Struts 및 WordPress와 같은 특정 애플리케이션과 프레임워크를 대상으로 Python을 사용한다. 
특히 PHPUnit 프레임워크의 CVE-2017-9841 PHP 기반 원격 코드 실행(RCE) 취약성 및 Joomla! 프레임워크의 원격 코드 실행 CVE-2015-8562 RCE 취약점 확산에 주목했다. 파이썬은 최소한의 코딩 기술을 필요로 하므로 스크립트를 작성하고 취약성을 이용하기가 쉬워 고려해야할 공격 요소 또한 많다.

첨부파일 첨부파일이 없습니다.
태그 Linux Kernel  Apple MDM  LoJax  Python