Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 24일] 주요 보안 이슈
작성일 2018-10-24 조회 645

1. [기사] Message Decryption Key for Signal Desktop application stored in plain text
[https://securityaffairs.co/wordpress/77340/hacking/signal-desktop-application-bug.html]
Signal 데스크탑 애플리케이션이 메시지 암호 해독 키를 공격자에게 노출시키고 있다는 사실이 발견되었다. 해당 결함은 로컬로 저장된 메시지를 암호화하기 위해 signal 데스크톱 애플리케이션에서 구현하는 프로세스에 영향을 준다. signal 데스크톱 애플리케이션은 db.sqlite라는 암호화된 SQLite 데이터베이스를 사용하여 사용자 메시지를 저장한다. 암호화된 데이터베이스에 대한 암호화 키는 설치 단계 중에 애플리케이션에 의해 생성된다. 이후 키는 로컬 파일에 일반 텍스트로 저장되고, 해당 암호화 키는 signal 데스크톱 애플리케이션이 데이터베이스에 액세스할 때마다 사용된다. 공격자는 해당 키를 이용해서 데이터베이스의 내용을 읽을 수 있다. 해당 문제는 사용자가 데이터베이스의 암호화 키를 설정하면 쉽게 해결할 수 있다.

 


2. [기사] Grave TCP/IP flaws in FreeRTOS leave IoT gear open to mass hijacking
[https://www.theregister.co.uk/2018/10/22/freertos_iot_platform_security_flaws/]
인터넷 연결 장치와 내장 전자 장치에 사용되는 운영체제 커널인 FreeRTOS이 심각한 보안 결함으로 인해 네트워크를 통한 커맨드 키트에 악용될 수 있다는 것이 밝혀졌다. 인터넷이나 네트워크를 통해 특수하게 조작된 데이터를 취약한 가젯에 전송하기만 하면 데이터를 충돌시키거나 중간에 가로챌 수 있다는 것이다. 이는 잘못된 사용자가 취약한 커널을 사용할 경우 공격자가 해당 장치를 제어할 수 있다는 것으로, 이를 통해 인터넷에 연결된 시스템에서 소유자를 추적하고 데이터를 네트워크 밖으로 탈취하여 다른 사이버 공격을 시작할 수 있다. Karlier은 연구원은 해당 취약점에는 서비스 거부 및 원격 코드 실행 등 13가지의 CVE 취약점이 존재하고 있다고 발표하면서, FreeRTOS가 오픈소스 프로젝트이고 커널 버전이 매우 널리 사용되기 때문에, PoC를 공개하기 전에 패치를 적용할 수 있도록 해당 결함의 세부 사항을 공개하지 않을 것이라 공표하였다.

 


3. [기사] City Pays $2K in Ransomware, Stirs ‘Never Pay’ Debate
[https://threatpost.com/city-pays-2k-in-ransomware-stirs-never-pay-debate/138527/]
웨스트 헤이븐은 시청 사무실이 랜섬웨어에 감염되어 해당 서버의 잠금 해제를 위해 비트코인으로 2000달러를 지불하기로 결정하였다. 미국 국토안보부는 해당 공격이 미국 외의 지역에서 시작되었다고 밝혔다. 이는 해당 금액을 지불하지 않기로 결정한 ONWASA와 반대되는 것으로, ONWASA는 랜섬웨어에 감염되었지만 암호 해제를 위한 지불을 하지 않기로 결정하였고, 대신 지연/주/연방 기관으로 이루어진 팀이 공익 설비의 회복을 위해 협력하고 있다고 밝혔다. 티코티스의 조셉 카슨은 해당 공격에 대한 몸값 지불은 자제해야한다고 말했다. 이는 사이버 범죄자들의 수를 늘리고, 더 큰 규모로 사용될 수 있는 새로운 악성 소프트웨어를 개발하도록 유도할 뿐이며, 결과적으로 이후 더 큰 문제로 돌아올 수 있기 때문이라고 강조하였다. Lucy Security는 해당 사안에 대해 시스템 백업에 더 신경을 기울여야 한다고 말했으며, STEALTHbits Technologies의 Adam Laubb는 몸값을 지불하더라도 이를 1/3~절반 수준으로 감소시켜 지불하기 위해 협상을 하는 것도 가능할 것이라 말했다.

 


4. [기사] Different Vendors Confirm The Impact Of LibSSH Flaw On Their Products
[https://latesthackingnews.com/2018/10/23/different-vendors-confirm-the-impact-of-libssh-flaw-on-their-products/]
지난 주, LibSSH 취약점이 인증되지 않은 로그인을 허용했다는 보고서가 온라인에 공개되었다. 해커는 이 취약점을 통해 암호 없이도 서버에 로그인할 수 있다. 대부분의 서버가 다른 OpenSSH 또는 LibSSH2를 로그인에 사용하기 때문에 문제가 되지 않는 것으로 보였다. 하지만 최근, 해당 취약점을 통한 공격이 Linux 7의 애플리케이션에 영향을 미친다는 것을 확인하였다. RHEL에서는 해당 취약점이 RedHat Enterprise Linux 7 Extra에서 제공된 libssh에 영향을 미치며, RedHat Enterprise Linux 6 및 이전 버전에는 libssh 패키지가 포함되어 있지 않아 영향을 주지 않는다고 밝혔다. F5 Networks는 또한 이 버그가 제품에 미치는 영향을 확인하였다. 그들은 해당 취약점이 그들의 BIG-IP 관리 콘솔에 영향을 주지 않는다는 것을 확인하였다. Cisco는 해당 취약점이 자사의 제품에 영향을 미칠 수 있음을 인정하고 이에 대한 조사에 들어갔다. 이들은 취약점의 영향을 받지 않는 일부 제품을 확인하였으나, 여전히 다양한 제품이 조사중이라는 것을 밝혔다.

 


5. [기사] 정보 탈취형 멀웨어인 아조럴트, 업그레이드 돼 판매 중
[https://www.boannews.com/media/view.asp?idx=73919&mkind=1&kind=1]
정보 탈취형 멀웨어이자 멀웨어 다운로더인 아조럴트(Azorult)의 새로운 버전이 리그(RIG)라는 익스플로잇 키트를 통해 배포되고 있는 것이 발견되었다. CheckPoint에서는 이번 아조럴트 3.3버전이 이전 버전에 비해 매우 개량된 버전이며, 해당 버전이 10월 초부터 다크웹에서 판매되기 시작했다고 밝혔다. 이전 버전까지의 소스 코드가 공개되어 이미 분석된 상태였기 때문에 업그레이드가 되거나 폐기되는 것은 이미 예견되어 있다고도 덧붙였다. 이번 업그레이드에서 가장 중요한 변경 사항은 새로운 암호화 기술이 추가되었다는 것이고, 임베디드된 C&C 도메인 문자열과 C&C서버로 연결하는 새로운 방법이 그 뒤를 이었다. 또한 로더에 있던 오류가 수정되고 기능이 향상되었으며, 배치 파일 로딩 및 오류 없이 실행이 가능하고 백신 탐지율이 낮아졌음을 알리면서 암호화폐 지갑을 공격하는 기능이 향상되고 탐지율이 낮아졌다는 것에서 주의해야 할 것이라 경고하였다.

첨부파일 첨부파일이 없습니다.
태그 LibSSH  Azorult  Signal Desktop Application bug