Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 23일] 주요 보안 이슈
작성일 2018-11-23 조회 994

1. [기사] Flaw allowing identity spoofing affects authentication based on German eID cards
[https://securityaffairs.co/wordpress/78314/hacking/german-eid-cards-hack.html]
RFID 칩이 장착된 독일의 eID 카드를 통한 인증 과정에 결함이 있어 공격자가 사용자의 신원을 스푸핑하고 데이터를 변경할 수 있다는 것이 밝혀졌다. 이는 Governikus Autent SDK에 존재하는 것으로, 파라미터가 한 번만 검증되고 다른 인스턴스는 이미 검증을 통과한 것처럼 파싱되기 때문에 일어난다고 분석되었다. 해당 취약점은 중복 HTTP 파라미터를 처리하는 Autent SDK 3.8.1 이하를 실행하는 웹 애플리케이션에 영향을 미친다. 해당 취약점을 발견한 SEC은 지난 7월 CERT-Bund 측에 문제의 기술적 세부 사항을 보고하였으며, Governikus는 해당 취약점을 보완한 새로운 버전을 출시하였다. 전문가들은 이번 공격이 초기 등록이 필요한 서비스에만 일부 효과가 있음을 명시하였다.

 


2. [기사] US Postal Service Left 60 Million Users Data Exposed For Over a Year
[https://thehackernews.com/2018/11/usps-data-breach.html]
미국 U.S.P.S, 우편 서비스를 제공하는 미국 연방 정부의 독립 기관에서 6천만명 이상의 고객 데이터가 USPS.com 웹 사이트를 사용하는 모든 사람들에게 노출되어 있는 보안 결함을 해결하였다. 한 사이버 보안 연구원에 의하면, API는 '와일드카드'라는 검색 파라미터를 허용하도록 프로그래밍되어 있어 해당 사이트에 로그인 한 사람이라면 누구나 다른 사용자의 계쩡 세부 정보를 시스템에서 조회할 수 있었다는 것이다. 또한 API 인증 취약점을 통하면 모든 USPS의 사용자들이 자신의 이메일 주소, 전화번호 또는 기타 키 세부 정보와 같은 다른 사용자의 계정 정보를 변경할 수 있다. 해당 취약점은 보고된 후 48시간만에 해결되었지만, Comparitect의 프라이버시 옹호자인 Paul Bischoff는 해당 취약점이 1년 내내 존재했기 때문에 최악의 경우를 가정해야 한다고 주장하였다.

 


3. [기사] Facebook And Instagram Went Down Due To A Server Bug
[https://latesthackingnews.com/2018/11/22/facebook-and-instagram-went-down-due-to-a-server-bug/]
페이스북과 인스타그램의 사용자들이 지난 2~3일동안 사용에 문제를 겪었다. 페이스북 측에서는 여러 건의 문의를 받은 끝에 해당 문제를 인정하였다. 이는 페이스북과 인스타그램의 서버 버그로 인해 서버가 다운되었기 때문에 발생한 문제였다는 것이다. 페이스북에서는 해당 버그를 패치하였다고 주장하였지만, 일부 사용자들은 여전히 해당 앱들을 사용하는 데에 어려움을 겪고 있다. 페이스북 측에서는 해당 버그를 해결했다고 공지하였으나 다수의 대중들은 지난 해킹 사건들을 통해 다른 가능성을 시사하고 있다. 아직 페이스북 측에서는 자세한 설명을 공식적으로 공개하지 않은 상황이다.

 


4. [기사] Amazon’s Technical Error Disclosed Customer Details
[https://hackercombat.com/amazons-technical-error-disclosed-customer-details/]
아마존에서 발생한 기술적인 오류가 고객 정보를 노출시켰다. 이에 아마존은 기술적 오류를 밝히고 이 문제를 해결하였으며, 해당 오류로 피해를 입은 사용자들에게 이메일을 보냈다. 아마존의 대변인은 얼마나 많은 사람들이 영햐을 받았고, 어떤 정보가 도난당했는가와 같은 질문에는 대답하지 않았다. 하지만 이들은 특별한 조치를 취할 필요가 없다고 주장하였다. 이러한 주장에도 사이버 보안 전문자들은 고객들에게 비밀번호 변경을 고려할 것을 요청했다. 현재 아마존은 구체적인 침해 내용을 사용자들에게 알리지 않고 있다.

 


5. [기사] 인기 높은 워드프레스 플러그인의 취약점 통한 XSS 공격 유행
[https://www.boannews.com/media/view.asp?idx=74857&page=1&mkind=1&kind=1]
워드프레스용 플러그인에서 발견된 취약점을 이용한 XSS 공격이 활발해지고 있다. 해당 플러그인은 구글 AMP 프로젝트의 기능을 웹 사이트에 추가하는 것으로, 약 10만 번 다운로드 되어 사용되고 있다. AMP 플러그인에서 발견된 취약점들은 공격자의 권한을 상승시켜 웹 사이트를 마음대로 변경할 수 있게 해주는 것으로, 최신화가 되지 않은 AMP 플러그인을 사용하는 웹 사이트는 각종 코드 주입 공격에 노출되어 있다. 워드프레스 보안 전문 업체인 워드펜스에 따르면 해당 취약점을 통해 공격자는 사용자 로그인 세션이 활성화되어 있기만 해도 플러그인에 권한에 상관없이 코드를 보낼 수 있다고 한다. 해당 공격에서 사용되는 C&C 서버는 sslapis.com에 위치한 것으로 밝혀졌는데, 이를 통해 전문가들은 공격과 관련된 모든 요소들을 추적할 수 있었다고 밝혔으며, 또한 해당 캠페인을 통해 XSS 취약점이 가장 먼저 해결되어야 한다는 것을 알 수 있었다고 발표하였다.

첨부파일 첨부파일이 없습니다.
태그 eID 카드 결함  USPS 데이터 유출  Facebook 서버 다운