Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 6일] 주요 보안 이슈
작성일 2019-03-06 조회 480

1. [기사] 구글의 프로젝트 제로, 맥OS에서 취약점 발견하고 공개
[https://www.boannews.com/media/view.asp?idx=77521]
애플의 맥OS 운영 체제에서 아직 패치되지 않은 상당히 위험한 보안 오류가 발견됐다. 이 오류를 악용할 경우 공격자는 파일시스템 내에서 악성 행위를 할 수 있을 만한 권한을 얻게 되며, 이때 피해자가 알아챌 방법이 없다고 한다. 이에, 구글의 프로젝트 제로 팀은 지난주 PoC를 발표했다. 취약점이 존재하는 곳은 애플의 XNU 커널 내 COW(copy-on-write)라고 불리는 프로세스다. XNU는 맥OS의 컴퓨터 운영체제용 커널이며, COW는 운영체제의 가상 메모리에서 사용되는 자원들을 관리하기 위한 일종의 방식으로, 데이터의 복사본들이 익명의 메모리와 파일 매핑을 위해 생성되도록 해주는 역할을 맡고 있다. 이번에 발견된 취약점은 사용자가 설치 시킨 파일시스템 이미지를 임의로 수정해도 COW가 이 사실을 가상 관리 시스템에 알리지 않는다는 것이다. 현재, 애플은 이 취약점의 업데이트가 90일 동안 나오지 않은 것에 대한 별다른 입장을 발표하지 않고 있는 상태이다.


2. [기사] 방문자와 외부인 관리하기 위한 시스템에서 취약점 다수 발견돼
[https://www.boannews.com/media/view.asp?idx=77522&page=1&kind=1]
기업들은 물리적인 침입으로 인한 위협을 막기 위해 로비에 방문자 관리 시스템을 사용하고 있다. 그런데 이 시스템 때문에 오히려 사이버 공격의 가능성이 커지고 있다고 한다. IBM의 침투 테스트 팀인 엑스포스 레드(X-Force Red)는 방문자 시스템을 연구하여 취약점을 19개나 발견해 보고서를 발표했다. 방문자 시스템 시장에서 가장 비율이 높은 업체 다섯 군데의 제품에서 발견한 것으로, 이 업체들은 HID 글로벌의 이지로비 솔로(EasyLobby Solo), 쓰레시홀드의 이비지터패스(eVisitorPass), 엔보이의 엔보이 패스포트(Envoy Passport), 더리셉셔니스트의 더리셉셔니스트(The Receptionist) 등이다. 이번 테스트에서 IBM은 임의의 코드 실행, 정보 추출, 정보가 없는 자의 권한 획득이란 세 가지 목표를 세워 시스템을 분석했으며, 발견된 취약점은 총 19개로 CVE-2018-17482~CVE-2018-17502이다. 발견된 취약점은 정보 노출 7건, 디폴트 계정 관련 2건, 기록 보안 우회 1건, 권한 상승 8건, 디도스 1건이다.

 

3. [기사] The Iran-linked Chafer APT group used a new Python-based backdoor in recent attacks aimed at a Turkish government entity.
[https://securityaffairs.co/wordpress/82004/breaking-news/chafer-apt-python-backdoor.html]
이란의 Chafer APT 그룹은 2018년 11월에 터키 정부 기관을 목표로 한 공격에 새로운 파이썬(Python) 기반 백도어를 사용했다. 이 그룹은 2014년 중반부터 stealer 악성코드를 배포하며 감시 작업 및 개인 추적에 주력했다. 전문가들은 공격자들이 win10-update.com 도메인을 사용하여 IP 주소 185.177.59.70에서 새로운 악성코드를 배포하는 것을 확인했다. 최근 사용된 새로운 페이로드는 MechaFlounder라 불리며 파이썬 기반으로 작성됐다. 이 악성코드는 PyInstaller를 사용하여 번들로 제공되며 파일 업로드 및 다운로드, 손상된 시스템에서 명령 및 응용 프로그램 실행과 같은 일반적인 백도어 명령을 지원한다. 시스템이 악성코드에 감염되면 HTTP를 통해 C&C 서버와 계속 통신을 하며 명령에 대한 행위를 수행 한 후 'base64.b16encode'방법을 사용하여 결과를 인코딩하거나 명령 메시지를 출력한다. Palo Alto Networks는 MecaFlounder로 알려진 이 페이로드가 Chafer에 의해 개발 커뮤니티에서 온라인에서 공개된 코드를 사용하였다 결론 지었으며, 공격자들이 목표를 달성하는 충분한 기능을 포함하고 있다고 분석 결과를 발표했다.

 

4. [기사] Hundreds of Docker Hosts compromised in cryptojacking campaigns
[https://securityaffairs.co/wordpress/81981/hacking/docker-hosts-cryptojacking-campaigns.html]
보안 전문가들은 2월에 해커들이 CVE-2019-5736 runc 취약점을 악용해 손상된 수백 개의 노출된 도커 호스트를 발견했다. 이 취약점은 SUSE Linux GmbH의 보안 전문가에 의해 발견됐으며, Docker, containerd, Podman 및 CRI-O에 영향을 준다. 또한 AWS, Coogle Cloud 등과 같이 다양한 클라우드 플랫폼에 영향을 줄 수 있다고 한다. 컨테이너 이스케이프를 위한 PoC 코드는 GitHub에 게시됐으며, 컨테이너 내부의 루트(uid0)를 이용하여 실행할 수 있다. 전문가에 따르면 이번 취약점으로 약 4,042개의 도커 데몬이 노출된 것이 발견됐다. 또한, 2375 포트를 통한 3,860개의 설치와 2376 포트를 이용한 74건의 접근이 발견됐다. 이에, 전문가들은 18.09.02 이상 버전으로 업데이트된 데몬이 100개뿐이며 나머지 데몬은 여전히 공격에 취약하며, 봇넷 만들기, 피싱, 데이터 유출, 내부 네트워크 공격 등의 방법으로 이용될 수 있다고 지적했다.

 

5. [기사] Saudi caller ID app leaves data of 5+ million users in unsecured MongoDB server
[https://www.zdnet.com/article/saudi-caller-id-app-leaves-data-of-5-million-users-in-unsecured-mongodb-server/]
사우디아라비아의 발신자 ID 서비스를 제공하는 안드로이드 앱인 Dalil가 MongoDB 취약점으로 인해 일주일 동안 사용자 데이터를 유출했다. 전문가는 이 취약점은 비밀번호 없이 온라인으로 접근할 수 있으며, 사용자의 개인 정보부터 활동 로그까지 앱의 전체 데이터를 볼 수 있다고 한다. ZDNet에 따르면 DB에는 사용자 휴대 전화 번호, 앱 등록 데이터 (성명, 이메일, Viber 계정, 성별 등), 기기 세부 정보 (제조업체 및 모델, 일련번호, IMEI, MAC 주소, SIM 번호, OS 버전 등), 통신 사업자 세부 정보, GPS 좌표 (모든 사용자가 아님), 개별 통화 정보 및 번호 검색 정보가 포함됐다고 한다. 아직도 Dalil MongoDB 서버는 585.7GB의 정보를 노출 중이며, 500만 명이 넘는 사용자가 다운로드 한 상태여서 심각한 상태이다. 발견자는 2월 26일에 발견하여 Dalil에 조치를 요구했지만, 아직도 DB가 열린 상태로 특정 조치가 취해지지 않았다고 언급했다. 

첨부파일 첨부파일이 없습니다.
태그 프로젝트 제로  CVE-2018-17482  Chafer APT   Dalil  Docker