Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 19일] 주요 보안 이슈
작성일 2018-10-19 조회 852

1. [기사] VMware addressed Code Execution Flaw in its ESXi, Workstation, and Fusion products
[https://securityaffairs.co/wordpress/77176/security/vmware-code-execution-flaws-2.html]

VMware는 ESXi, Workstation 및 Fusion 제품에서 사용하는 SVGA 가상 그래픽 카드에 영향을 미치는 임의 코드 실행 취약점(CVE-2018-6974)을 수정하고 업데이트를 출시했다. CVSS 점수는 6.9점을 받았으며, 이 취약점을 이용하려면 게스트 시스템에서 낮은 권한 코드를 실행할 수 있는 기능을 얻어야 한다. 
또 다른 취약점 Workstation 및 Fusion에서 사용하는 CVE-2018-6973으로 추정되는 e1000 가상 네트워크 어댑터에 대해 OoB 취약점이 있다고 보고했다. 로컬 공격자가 임의 코드를 실행하기 위해 악용할 수 있으며, VMware는 9월에 이 결함을 해결했다. CVE-2018-6974와 비슷하며 낮은 권한으로 액세스해야 한다. 해당 취약점은 가상화된 e1000 디바이스를 처리할 때 발생한다. 사용자가 제공한 데이터의 적절한 유효성 검사 부족으로 인해 발생하며, 이로 인해 할당된 버퍼의 끝을 넘어서 쓸 수 있다. 공격자는 이 취약성을 이용하여 호스트 OS 컨텍스트에서 코드를 실행할 수 있다. 6월에는 Android 및 Windows Mobile용 AirWatch Agent 애플리케이션의 중요한 원격 코드 실행 취약성을 해결했다.


2. [기사]  Tumblr Privacy Bug Could Have Exposed Sensitive Account Data
[https://threatpost.com/tumblr-privacy-bug-could-have-exposed-sensitive-account-data/138415/]

텀플러는 보안 취약점이 남용되거나 보호되지 않은 계정 정보가 액세스된 증거는 없다고 강조했다. 사용자 이름/암호, 개별 IP 주소 등 민감한 계정 정보를 노출시킬 수 있는 취약성을 해결했다고 밝혔다. 이 취약점은 텀블러 데스크탑 버전의 "추천 블로그" 기능에 존재했다. 이 기능은 관심있는 다른 사람의 블로그 리스트를 추천해주며, 로그인된 사용자에게만 보여진다. 그러나, 그 블로그에 관련된 특정 계정 정보를 디버깅 소프트웨어를 이용하면 가능하다고 밝혔다. 텀블러는 "당사의 분석 결과 버그가 거의 없는 것으로 나타났다"는 것 외에는 어떤 특정 계정이 영향을 받았는지 확인할 수 없었다고 말했다. 이 사건은 데이터 개인 정보 보호 및 보호에 대한 우려가 계속 증가함에 따라 소셜 네트워킹 사이트를 강타한 보안 사건이다.


3. [기사]  LibSSH Flaw Allows Hackers to Take Over Servers Without Password
[https://thehackernews.com/2018/10/libssh-ssh-protocol-library.html]

 

Libssh라고 알려진 SSH(Secure Shell) 구축 라이브러리에서 모든 사용자가 암호를 입력하지 않고 취약한 서버에 대한 완전히 인증을 무시하고 관리자 권한을 얻을 수 있는 심각한 취약성이 발견되었다. CVE-2018-10933으로 추적되는 이 취약점은 2014년 이전 릴리스된 Libssh 버전 0.6에 도입된 권한 우회 공격 방법으로, 지난 4년간 수천 개의 엔터프라이즈 서버가 해커에게 개방되었다. 하지만, 널리 사용되는 OpenSSH나 Gitub의 libssh 구현은 취약성의 영향을 받지 않았다. 이 취약성은 Libssh의 코딩 오류로 인해 존재하며 악용하기 매G우 단순하다. 발표된 보안 권고에 따르면, 공격자는 "SSH2_MSG_USERAUTH_SUCCUTESS" 메시지를 SSH 연결이 설정된 서버로 보낸다. libssh 결함으로 인해 라이브러리는 들어오는 패킷이 인증 과정이 완료되었는지 검증에 실패한다. 따라서 인증에 성공하고 비밀번호 없이 공격자가 서버에 접속할 수 있게 한다. Libssh 팀은 화요일 업데이트된 libssh 버전 0.8.4와 0.7.6의 릴리스로 이 문제를 해결했으며 이 취약성의 세부 정보도 동시에 릴리스되었다.


4. [기사] Oceansalt cyberattack wave linked to defunct Chinese APT Comment Crew
[https://www.zdnet.com/article/seasalt-cyberattack-wave-linked-to-chinese-apt-comment-crew/]

미국, 한국, 캐나다를 공격하는 사이버 공격의 새로운 물결이 중국 군대와 연계된 APT 그룹과 연결되었다. 5월 5일 다섯 차례에 걸친 한국 내 조직들에 대한 공격이 시작되면서 "Operation Oceansalt"라고 불리는 이 캠페인의 주된 목표로 보인다. APT1이라고도 하는 Comment Crew는 중국 군대와 연결된 APT(Advanced Persistent Threat) 그룹입니다. 2006년부터 2010년까지 약 14개 미국 기업을 상대로 민감한 기업 및 지적 재산 데이터를 찾아 공격을 감행했다. 이 그룹은 명령 및 제어 서버에 대한 통신을 숨기기 위해 HTML 설명을 사용했다. 일반적인 공격 벡터는 "ArmyPlansConferenceOn NewGCVSolicitation.pdf" 또는 "Chinese Oil Executive Experience From"과 같은 문구를 포함한 이메일 첨부파일을 이용하여 스피어 피싱을 이용했다. 오션살트는 지속적인 지능적 위협의 첫 번째 단계인 것으로 보인다고 말했다. 마이크로소프트 워드 및 엑셀에 기반을 둔 이 문서는 한국어로 작성되었으며 일반적으로 한국어를 사용하는 기관이나 개인을 대상으로 한다. 멀웨어에는 데이터를 추출하고 암호화한 다음 명령 및 제어(C2) 서버로 전송하는 기능을 비롯한 Seasalt와 유사한 역쉘 실행 기능이 포함되어 있다. 한 가지 중요한 차이점은, Seasalt는 지속성 메커니즘을 가지고 있지만, 오션살트는 그렇지 않다는 것이다. APT는 한국 금융 기관에 주력하고 있는 것으로 보이며 훨씬 더 큰 공격에 대한 전조가 될 수 있다고 말했다.


5. [기사] GreyEnergy cyberespionage group targets Poland and Ukraine
[https://securityaffairs.co/wordpress/77218/apt/greyenergy-cyberespionage-group.html]

ESET의 보안 전문가들은 GreyEnergy라는 최근 발견된 위협 배우에 대한 자세한 분석을 발표했으며, 이 기업의 활동은 BlackEnergy 운영과 동시에 나타났다. BlackEnergy 위협 요소가 TeleBots와 GreyEnergy라는 두 개의 개별 APT 그룹으로 진화했다고 추측한다. TeleBots 그룹의 주요 목표는 컴퓨터 네트워크 공격(CNA)을 통해 성취되는 우크라이나에 대한 사이버사보타지 공격을 수행하는 것이다. GreyEnergy는 우크라이나와 폴란드에서 정찰과 사이버 스파이 활동을 수행했고 에너지와 운송 산업, 그리고 기타 고부가가치 목표들에 초점을 맞추었다. GreyEnergy 모듈은 첫 번째 서수에서 함수를 호출하여 실행되는 DLL 파일이다. 메인 GreyEnergy 모듈을 포함한 각 모듈은 다양한 매개변수의 텍스트 명령을 받아들인다. 흥미로운 사항 중 하나는 GreyEnergy 샘플 중 하나가 ICS 장비를 생산하는 대만 기업에서 도난당한 것으로 보이는 유효한 디지털 인증서로 서명했다는 것이었다. 이런 점에서, 스턱스넷의 선례를 따른 것으로 볼 수 있다. 또한 GreyEnergy는 다른 백도어(대부분 PHP 백도어)와 악성 코드를 숨기기 위해 여러 계층의 난독화 및 암호화를 구현하는 악성코드를 사용했다. 
GreyEnergy는 지난 몇 년 동안 우크라이나를 공포에 떨게 했던 가장 위험한 APT 단체들 중 한 곳의 중요한 부분이다. 이러한 결론의 주요 원인은 유사한 악성 프로그램 설계, 특정 대상 피해자의 선택 및 작업 방식이라고 ESET은 말했다.

첨부파일 첨부파일이 없습니다.
태그 VMware  Tumblr  Oceansalt