Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 2일] 주요 보안 이슈
작성일 2018-10-02 조회 827

1. [기사] Attackers chained three bugs to breach into the Facebook platform
[https://securityaffairs.co/wordpress/76715/data-breach/three-bugs-facebook-hacked.html]

페이스북이 5천만 사용자들의 접근 토큰을 훔친 공격에 대한 추가적인 세부 정보를 발표했다. 발표된 "View As" 기능은 다른 사용자가 다른 사용자가 자신의 프로필을 볼 수 있으며, 개인 정보 섹션 아래에 구현되어 공개한 데이터만 보여진다. 
9월 16일 트래픽이 급증하는 것을 발견했지만, 9월 25일 공격 받고 있는 것으로 결론지었다. 페이스북은 View As 기능을 비활성화하고, 영향을 받는 5000만 개의 계정에 대한 보안 토큰을 재설정하며, 예방 조치로 4천만 개의 계정에 대해 보안 토큰을 재설정했다. 
Facebook에 따르면, 이 취약성은 "View As" 기능과 Facebook 비디오 업로더에 영향을 미치는 세 가지 결함에 의한 결과이다. "View As" 기능은 읽기 전용 인터페이스를 허용하는데 이 플랫폼은 내용을 제대로 검증하지 못한다. 이러한 방법으로 동영상을 게시할 수 있음이 발견됐다. 이에 따라 동영상 업로더는 접근 토큰을 생성하여 페이스북 모바일 앱에 대한 접근을 허용했다. 또다른 취약점은 "View As" 기능을 사용할 때 사용자의 토큰이 아닌 보고 있는 프로필의 토큰을 페이지의 HTML에서 가져올 수 있었다. 페이스북은 EU GDPR 하에서 16억 3천만 달러의 벌금을 물게 될 것이다.


2. [기사] Code execution vulnerabilities uncovered in Atlantis Word Processor
[https://www.zdnet.com/article/code-execution-bugs-plague-atlantis-word-processor/]

Atlantis Word Processor에서 원격 코드 실행 취약점이 발견되었다. Atlantis Word Processor는 TXT 및 .DOC를 eBook 및 ePub 형식으로 변환하여 다양한 형식의 전문 문서를 만드는 데 사용되는 소프트웨어이다. 첫 번째 취약점은 버전 3.0.2.3 및 3.0.2.5에 영향을 미칩니다. CVE-2018-3975로 추적된 초기화되지 않은 변수 취약성은 소프트웨어의 RTF 파싱 기능에서 발견되었다. 공격자가 조작된 RTF 파일을 만드는 경우, out-of-bounds 가 발생하여 임의의 코드가 실행될 수 있다. 두 번째 취약점은 또 다른 out-of-bounds 가 발생한다. 악의적으로 조작된 문서는 Atlantis로 하여금 값을 쓰게 만들어 버퍼 오버플로우로 인해 임의의 코드가 실행될 수 있다. 이 취약점은 Atlantis Word Processor 버전 3.2.6에 영향을 미친다. 세 번째 취약점 CVE-2018-3982은 Atlantis Word Document parser에 존재한다. 사용자가 악의적으로 조작된 문서를 열 경우 임의 코드 실행이 발생한다. 버전 3.0.2.3과 3.0.2.5가 영향을 받는다. 이 밖에도 CVE-2018-3983, CVE-2018-3984, CVE-2018-3998, CVE-2018-3999이 존재한다. 최종 취약점인 CVE-2018-4000은 소프트웨어의 버전 3.2.5.0에 영향을 미친다. Atlantis의 Office Open XML parser에 double-free 취약성이 있으며 이를 통해 임의의 코드가 실행될 수 있다.


3. [기사] Nine NAS Bugs Open LenovoEMC, Iomega Devices to Attack
[https://threatpost.com/nine-nas-bugs-open-lenovoemc-iomega-devices-to-attack/137829/]

Lenovo는 LenovoEMC, Iomega 및 Lenovo 브랜드 NAS 기기를 포함하여 회사에서 판매하는 20개의 개별 NAS(Network Attached Storage) 장치에 대해 "높음"으로 분류된 9개의 취약점을 경고하고 있다. 공격자는 장치 운영 체제의 여러 명령 입력 취약성 중 하나를 사용하여 루트 셸을 통해 원격으로 대상 시스템을 탈취할 수 있다. 결과적으로, 개인 정보를 파괴하여 정보를 훔치고, 봇넷에 추가하는 데 사용할 수 있다. 취약한 장치로는 8개의 LenovoEMC NAS(PX) 모델, 9개의 Iomega StoreCenter(PX 및 IX) 모델 및 Lenovo 브랜드 장치, ix4-300d, ix2 및 EZ Media and EZ Media and Backup Center가 있다. 
일부 Iomega, Lenovo, LenovoEMC NAS 버전 4.1.402.34662 이전 버전의 경우 인증된 암호 변경 시 현재 암호를 입력하지 않는다. 따라서 사용자의 세션 토큰에 대한 액세스 권한이 있는 공격자는 암호를 변경하고 사용자 계정에 대한 액세스 권한을 유지하는 크로스 사이트 스크립팅(CVE-2018-9082)이 발생할 수 있다. 장치에 대한 쉘 접근 권한을 얻기 위해 장치 중 하나의 인증된 NAS 사용자를 "__c"라는 공격 브라우저의 "ramattie 매개 변수"라는 세션 쿠키와 사용자의 액세스 토큰을 훔치도록 설계된 특수하게 조작된 악의적인 웹 사이트로 유인한다. 다음 단계는 대상의 NAS 액세스 토큰과 "_c 매개 변수"를 획득한 후 NAS가 실행 중인 정적 IP 주소를 찾는 것이다. 취약한 NAS의 정적 IP 주소가 설정되면 공격자는 기기에 대한 CSRF 공격을 시작할 수 있다. Lenovo는 9월 20일에 취약한 시스템에 대한 패치를 발표하고 CVE-2018-9074, CVE-2018-9074, CVE-2018-9075, CVE-2018-9077을 포함한 결점을 공개적으로 발표했다. 펌웨어 버전 4.1.404.34716 이상을 다운로드해야하고, 즉시 업데이트할 수 없는 경우, 공개 공유를 제거하고 신뢰할 수 있는 네트워크에서만 장치를 사용하며 신뢰할 수 있는 소스에서 장치 URL을 클릭하여 일시적인 보안을 할 수 있다고 말했다.


4. [기사]  Complicated iOS 12 Passcode Bypass Exposes iPhone Data To Hackers
[https://latesthackingnews.com/2018/10/01/complicated-ios-12-passcode-bypass-exposes-iphone-data-to-hackers/]

애플의 최신 iOS12의 보안 기능에 두 가지 복잡한 암호 우회 방법을 발견했다. 최신 iOS 12에는 암호를 우회하여 연락처와 사진에 액세스할 수 있는 취약점이 존재한다. 기사의 동영상에는 암호 우회 방법을 단순히 시리를 이용하여 암호를 입력하지 않고 전화기의 데이터에 액세스하는 방법을 보여준다.
첫 번째 비디오에서, 그는 시리를 통해 VoiceOver를 활성화하면 누구나 전화기의 연락처와 사진에 접근할 수 있다는 것을 증명했다. 대상 장치에 물리적으로 액세스할 수 있는 공격자는 전화를 걸기만 하면 된다. 그런 다음, 호출이 나타나면 공격자는 "메시지" 옵션을 눌러 메시지를 작성할 수 있다. 여기서 snooper는 "+" 기호를 눌러 연락처 옵션을 추가할 수 있다. 한편, 대상 장치로 메시지를 보내면 기기가 메시지 알림을 표시할 때 iOS UI에서 충돌이 발생한다. 이제 잠시 동안 빈 화면을 표시하면 공격자가 원래 메시지를 검색할 수 있다. 또한 연락처 목록에 액세스하여 새 메시지 수신인을 추가할 수도 있다. 마찬가지로, 비디오에서 볼 수 있듯이 공격자는 VoiceOver를 활성화하고 "카메라 롤"로 스와핑하여 장치 사진에 액세스할 수도 있다. 
현재 Apple은 iOS 12 및 iOS 12.1 베타에 영향을 미치는 이 취약성에 대한 패치를 출지하지 않았다. 패치를 사용할 수 있을 때까지 Siri 잠금 화면 액세스를 비활성화해야 한다.


5. [기사] GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers
[https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html]

중국 보안회사에서 10만 개 이상의 홈 라우터를 탈취하고 DNS 설정을 수정하여 악성 웹 페이지(특히 은행 사이트를 방문하는 경우)로 사용자를 해킹하고 로그인 정보를 도용한 광범위한 악성 프로그램 캠페인을 적발했다. GhostDNS라고 불리는 이 캠페인은 감염된 장치에서 DNS 서버 설정을 변경하여 작동하는 악명 높은 DNSChanger 멀웨어와 많은 유사점을 가지고 있어 공격자는 악의적인 서버를 통해 사용자의 인터넷 트래픽을 라우팅하고 중요한 데이터를 훔칠 수 있다. 그 중 87.8 퍼센트가 브라질에 위치해 있으며, 이는 브라질이 주요 타깃이라는 것을 의미한다.
GhostDNS는 약하거나 아예 비밀번호를 사용하지 않는 라우터의 IP 주소를 검색한 후 라우터의 설정에 접근한다. GhostDNS 캠페인은 확장성이 높고 다양한 공격 벡터를 활용하고 자동화된 공격 프로세스를 채택하므로 사용자에게 실질적인 위협이 된다. GhostDNS 시스템은 주로 다음 네 가지 모듈로 구성된다. DNSChanger Module의 Js DNSChanger, PyPhp DNSChanger, Web Admin Module, Rogue DNS Module, Phishing Web module. 라우터 기본 암호의 복잡성을 증가시키고 제품에 대한 시스템 보안 업데이트 메커니즘을 강화하라고 권고했다.

첨부파일 첨부파일이 없습니다.
태그 GhostDNS  iOS12  LenovoEMC  Atlantis Word Processor  Facebook