Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 30일] 주요 보안 이슈
작성일 2019-04-30 조회 607

1. [기사] 5G용 시에라 무선에어링크 게이트웨이에서 취약점 11개 나와
[https://www.boannews.com/media/view.asp?idx=79089]
산업용 사물인터넷 장비와 도소매 POS 시스템, 기업용 방어 애플리케이션을 위해 마련된 5G 무선 게이트웨이에 취약점이 다수 발견됐다. 이 중에는 치명적으로 위험한 원격 코드 실행 취약점과 임의 명령 주입 취약점이 포함되어 있다. 발견된 취약점은 전부 11개로, 원격 코드 실행, 크리덴셜 탈취 등의 공격을 유발할 수 있다고 시스코 탈로스(Talos) 팀이 경고했다. 11개 취약점 중 대부분은 ACE 매니저라고 부르는 ES450의 웹 서버 부분에 존재한다. 가장 위험한 취약점은 CVSS 점수 9.9점을 받은 CVE-2018-4063으로 원격 코드 실행을 가능케 해주며 ACE 매니저의 upload.cgi 함수에 존재한다. CVE-2018-4061도 9.9점을 받았으며, ACE 매니저의 iplogging.cgi에서 발견된 취약점이다. 이 취약점은 GX450 제품에 영향이 있을 가능성이 높다고 한다. 이 외에도 XSS, CSRF, 원격 코드 실행, 정보 노출 등의 취약점이 있다. 보안 업체 익시아(Ixia)의 보안 전문가인 스티브 맥그레고리는 5G 역시 새로운 공격법이 개발되는 것에 대해 예외는 아닐 것이라고 언급했다.


2. [기사] 보안 침해당한 적 있는 기업, 다시 표적 될 가능성 높다
[https://www.dailysecu.com/?mod=news&act=articleView&idxno=49551]
2018년 아태지역 조직에서 사이버 침해가 시작될 때부터 내부 보안팀에 의해 확인될 때까지 공격자가 피해 조직 내 네트워크에서 활동한 공격 지속 시간은 총 262일로, 8개월이 넘는 시간인 것으로 나타났다. 한편, 미국과 EMEA(유럽,중동 및 아프리카)조직들 내부 보안팀이 일반적으로 침해를 탐지하는 시간은 각각 46일, 61일로 상당히 빠른 편이다. 반면 아태지역 조직들은 상대적으로 느린 대응 속도를 보이고 있다. 파이어아이는 맨디언트 조사로 이미 한 번 표적이 된 조직은 계속해서 재공격 당할 수 있다는 데이터를 제시했다. 이는 2018년 조사한 데이터에 따르면, 고객사의 78%가 지난 19개월 동안 동일하거나 유사한 동기를 가진 공격 그룹에 의해 다시 표적이 된 것으로 밝혀졌다. 추가로 인수합병 활동 중 피싱 공격을 통한 침해도 증가하고 있다고 밝혔다. 파이어아이 코리아 전수홍 지사장은 "2018년에는 사이버 공격자들이 새로운 방법론을 도입하며 더욱 정교한 공격이 이뤄졌다. 이는 2019년에도 이러한 위협으로 부터 안전하지 않다는 점을 보여준다. 따라서 한국 기업들은 사이버 위협으로부터 자유로울 수 없으며, 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 말했다. 


3. [기사] Docker Hub Suffers a Data Breach, Asks Users to Reset Password
[https://thehackernews.com/2019/04/docker-hub-data-breach.html]
Docker 컨테이너 이미지의 라이브러리 중 하나인 Docker Hub의 데이터베이스가 침해당하는 사고가 발생했다. 이번 침해로 영향을 받은 사용자는 19만 명의 허브 사용자(전체 사용자의 5% 미만)이며, Github와 Bitbucett 토큰을 포함한 민감한 정보를 유출한 것으로 밝혀졌다. 이에 Docker Hub는 사용자들에게 이번 사건을 알리고 즉시 패스워드를 변경해달라는 이메일을 보냈다. 보안 팀은 2019년 4월 25일 목요일에 Docker Hub 데이터베이스에 무단 액세스 된 정황을 확인하고 신속하게 보안 조처를 했다고 언급했다. 또한 영향을 받은 사용자의 경우 GitHub 토큰과 액세스 키를 취소하고 보안 로그를 확인하여 비정상적인 정보가 있는지 확인했다고 말했다. 현재 공격자가 데이터베이스에 어떻게 접근했는지에 대한 자세한 내용은 공개하고 있지 않은 상태이다. 이에 도커는 계속 조사 중이며 상세한 내용이 확인되면 공유할 것이라고 밝혔다. 


4. [기사] GPS Tracking Apps Flaw Let Hackers Remotely Hijack the Car & Kill Engines to Create a Traffic Jam
[https://gbhackers.com/gps-tracking-apps/]
한 해커와 iTrack과 ProTrack이라는 두 개의 GPS 추적기 앱 사용자의 계정을 손상했다. 그는 7000개 이상의 iTrack 계정과 각 차량 소유자가 GPS 추적 장치를 통해 차량을 모니터링하고 관리하는데 사용하는 20,000개 이상의 ProTrack 계정에 접근했다고 밝혔다. 그는 앱의 취약한 API를 사용하여 공격을 시도했으며, 획득한 정보를 바탕으로 로그인을 시도하는 스크립트를 작성했다고 한다. 이 결함으로 인해 해커는 자동으로 수천 계의 계정에 접근할 수 있게 됐다. 타깃이 된 지역은 주로 남아프리카 공화국, 모로코, 인도 및 필리핀이며, 전 세계 어디서든 iTrack과 ProTrack을 사용하고 있다면 접근이 가능하다고 한다. 해커는 자동차 엔진을 끄는 등의 행위는 하지 않고, 단지 돈을 위해 고객의 정보에만 접근했다고 언급했다. ProTrack은 이번 사건에 대해 앱의 시스템이 잘 동작하고 있으며, 비밀번호 변경은 다른 시스템처럼 계정 보안을 위한 정상적인 방법이니 비밀번호를 변경하라고 권고했다.


5. [기사] Hackers Abusing Digitally Signed Emails to Launch JasperLoader Malware Via Weaponized Word Document
[https://gbhackers.com/digitally-signed-emails-distributing-jasperloader-malware/]
한 보안 연구원이 최근 몇 달 동안 활동한 JasperLoader를 추적 및 분석했다. JasperLoader는 디지털 서명된 이메일을 통해 배포된 악성코드 로더이다. 이 악성코드는 주로 유럽 국가를 대상으로 배포됐으며, 여러 가지 난독 화 기법을 사용하여 분석하기 어렵게 한다. jasperLoader 악성코드의 감염은 이메일로부터 시작한다. 이메일에 첨부된 ZIP 아카이브는 JasperLoader 감염 프로세스를 시작하는 VBS 스크립트를 포함하고 있는 DOCM 파일을 압축했으며, 해당 파일 실행 시 악성코드에 감염된다. 인증서는 PEC(Posta Elettronica Certificate)를 사용한다. 워드 문서에서 매크로 실행 시 JasperLoader를 실행하며 Get-UICulture cmdlet을 호출하여 시스템 언어를 확인한다. 만약, 감염된 PC가 러시아 , 우크라이나, 벨라루스, 중국과 연관되어 있으면 종료된다. JsaperLoader의 최종 단계는 사용자 정보를 수집하여 도용하고 백도어 역할을 하는 Gootkit 뱅킹 악성코드이다.

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-4063  Docker Hub  iTrack  ProTrack  jasperLoader