Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 14일] 주요 보안 이슈
작성일 2019-05-14 조회 126

1. [기사] 누군가 유출한 문건 통해 새로운 이란 APT 그룹 정체 드러나
[https://www.boannews.com/media/view.asp?idx=79438&skind=D]
새롭게 유출된 문서를 통해 여태까지 한 번도 세상에 공개되지 않았던 이란의 사이버 스파이 그룹 ‘라나(Rana)’의 정체가 드러났다. 라나에 관한 문서는 5월 5일에 텔레그램의 블랙박스(Black Box)란 채팅방에서 공개됐다. 유출된 정보에 따르면 라나의 해킹 및 사이버 정찰 행위들은 광범위하고 장기적인 목적을 성취하기 위해 이뤄지고 있는 것이라고 한다. 라나의 주요 공격 대상은 항공사이며, 정부 기관, 통신업체, 전화기 사업자들도 포함된다. 또한, 국가는 30개국 이상을 대상으로 하고 있다고 한다. 이들은 각 항공사 및 정부 기관을 공격하기 전에 소셜 엔지니어링을 통해 해당 기관의 보안 시스템 등을 상세히 조사했다. 보안 전문가는 라나의 공격 방법이 성공할 때까지 공격한다는 것이라고 말하며, 다수의 전문가로 팀이 나뉘어서 운영되고 있는 것으로 언급했다. 돌레브는 최근 이란의 APT 단체들의 내부 사정이 폭로되면서 조심스럽게 움직이고 있으므로 꾸준한 모니터링이 필요하다고 권고했다.


2. [기사] MS 셰어포인트 서버의 취약점, 실제 공격에 악용되는 중
[https://www.boannews.com/media/view.asp?idx=79434]
최근 패치된 마이크로소프트 셰어포인트(Microsoft SharePoint)의 고위험군 취약점인 CVE-2019-0604가 사이버 범죄자들의 실제 공격에 활용되고 있다는 소식이다. CVE-2019-0604는 원격 코드 실행을 가능하게 해주는 취약점이며, 3월에 마이크로소프트에서 패치를 발표했다. CVE-2019-0604는 CVSS 점수로 7.8점을 획득하여 상당히 위험한 편에 속하며, 셰어포인트가 애플리케이션 패키지의 출처 마크업 정보를 확인하는 부분에서 발생한다고 한다. 공격자들은 차이나 초퍼(China Chopper)라는 작은 웹 셸을 사용해 이 취약점을 익스플로잇 함으로써 최초 침투에 성공하고 있다. 또한, 이 웹셸을 사용해 또 다른 파워셸 스크립트를 설치하여 백도어를 다운받는다. 공격자들은 이 취약점을 이용해 원격 코드 실행, 데이터 탈취, 추가 멀웨어 다운로드 등을 실시하고 있다고 한다. 보안연구원 도만은 아직까지 이 취약점을 대다수 공격자가 악용하고 있다고 말할 수준은 아니지만, 그 수가 점점 늘어나고 있는 상황임은 확실하다고 언급했다. 이에 셰어포인트를 사용하고 있는 조직들이라면 시급하게 패치와 업데이트를 적용하는 게 필수적이라고 권고했다.


3. [기사] Over 10k+ GPS trackers could be abused to spy on individuals in the UK
[https://securityaffairs.co/wordpress/85426/hacking/gps-trackers-flaws.html]
노인과 아이들이 사용하는 GPS 추적기의 취약점이 발견됐다. 발견된 취약점은 PIN을 이용하는 것과 GPS 추적기 번호와 관련 있다. 이 취약점을 악용하면 GPS 추적기가 개인을 감시하는 용도로 사용될 수 있다고 한다. 전문가들은 Pebbell 2와 SureSafeGo를 포함하여 수십 개의 회사에서 판매하는 장치를 영국의 1 천 명이 넘는 사람들이 사용하고 있다고 지적했다. 이 장치에는 사용자의 위치를 ​​전송하고 스피커와 마이크를 통해 핸즈프리 통신을 제공할 수 있는 SIM 카드가 장착되어 있다. 공격자가 SIM 카드에 문자메시지를 보내 강제로 재설정이 가능하며, 원격으로 GPS 추적기에 액세스하여 위치를 발견하고 은밀하게 마이크를 켤 수 있다고 한다. 전문가는 불행히도 이미 시중에 나와 있는 장치의 문제는 해결할 수 없어 고용주 및 지방 당국이 보안 문제를 알고 있어야 한다고 권고했다. 영국의 일부 업체가 장치를 조사하고 적극적으로 회수하고 있지만 이에 응답하지 않는 경우가 더 많다.


4. [기사] Thrangrycat flaw lets attackers plant persistent backdoors on 시스코 gear
[https://www.zdnet.com/article/thrangrycat-flaw-lets-attackers-plant-persistent-backdoors-on-시스코-gear/]
시스코 장비에 물리적으로 접근하지 않고도 인터넷을 통해 영구적인 백도어를 설치할 수 있는 취약점이 발견됐다. Thrangrycat으로 명명된 이 취약점은 2013년 이후 시스코 기어의 독점 하드웨어 보안 칩인 Trust Anchor 모듈 (TAm)에 영향을 준다. 작년 Red Balloon Security의 보안 연구원은 FPGA (Field Programmable Gate Array) 비트 스트림을 조작하여 데이터 스트림 중 하나를 통해 TAM을 공격할 수 있는 방법을 발견했다. 이 비트 스트림을 수정하려면 장치에 대한 루트 액세스가 필요하며, 이는 Thrangrycat 취약점을 사용하여 TAM을 수정할 수 있다는 것을 의미한다. 최근 시스코 장치에서 실행되는 시스코 IOS XE 소프트웨어의 웹 인터페이스에도 동일한 취약점이 발견됐으며 이 결함을 사용하면 시스코 라우터와 스위치에 대한 루트 접근 권한을 얻게된다. 시스코는 아직 이 두 가지 결함을 이용한 어떠한 공격도 감지하지 못했다고 말했다. 또한, 레드 벌룬 보안팀은 8월 블랙 햇 보안 콘퍼런스에서 Thrangrycat 공격을 탐지할 수 있는 도구를 제시할 계획이라고 밝혔다.


5. [기사] Linksys Smart Wi-Fi Routers Leak Info of Connected Devices
[https://www.bleepingcomputer.com/news/security/linksys-smart-wi-fi-routers-leak-info-of-connected-devices/]
Linksys smart Wi-Fi 라우터에 원격 및 인증되지 않은 접근을 허용하는 정보 유출 취약점이 발견됐다. 해당 취약점에 노출된 장비는 약 25,000개 이상이다. 발견된 취약점은 2014년 발견된 Linksys SMART WiFi 펌웨어 취약점(CVE-2014-8244)과 매우 유사하다고 한다. 이번 취약점으로 노출된 정보는 연결되어있는 모든 장치의 MAC 주소, 장치 이름, 운영 체제, WAN 설정, 방화벽 상태, 펌웨어 업데이트 설정 및 DDNS 설정, 장치 유형, 모델 번호 및 설명과 같은 추가 메타 데이터이다. 또한, 연구원들은 미국, 칠레, 싱가포르, 캐나다에서 Linksys 라우터가 다수 사용하고 있는 것을 확인했다. 홍콩, 아랍에미리트, 카타르, 러시아, 니카라과, 네덜란드는 500개 미만의 Linksys 라우터를 사용 중이다. 보안전문가는 Linksys 라우터 25,617개 중 14,387개가 자동 업데이트 설정이 돼 있어 해당 기기는 보안 패치에 영향을 받을 것이라고 말했다. 하지만 나머지 기기들은 영향을 받지 않으므로 최신 상태로 패치하는 것을 권고했다. 

첨부파일 첨부파일이 없습니다.
태그 Rana  CVE-2019-0604  GPS trackers  Thrangrycat  Linksys Smart Wi-Fi Routers