Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 5월 23일] 주요 보안 이슈
작성일 2019-05-23 조회 517

1. [기사] Google Stored G Suite Users' Passwords in Plain-Text for 14 Years
[https://thehackernews.com/2019/05/google-gsuite-plaintext-password.html]
지난 화요일 구글이 자사의 블로그를 통해 지스위트(G Suite) 고객들의 비밀번호 일부가 지난 14년간 평문으로 저장되어 있었다고 발표했다. 2005년 도메인 어드민(Domain Admins)에 도입한 비밀번호 열람 기능으로 인해 사용자의 비밀번호가 암호화 되지 않은 형태로 저장되는 일이 있었다는 것이다. 또한 이 문제로 영향을 받은 건 시스템이나 관리자가 1회용으로 생성한 비밀번호들로, 소비자들의 일반 지메일 계정들에는 아무런 피해가 없다고 강조했다. 구글의 엔지니어링 부문 부회장인 수잔 프레이(Suzanne Frey)는 "관리자 콘솔에 해시 처리가 되지 않은 비밀번호가 복사되어 저장되고 있다는 걸 그 동안 몰랐다"며 자신들의 실수라고 설명했다. 그러나 현재는 문제가 완벽히 해결되었으며, 미국 시간 기준으로 수요일 지스위트 고객들을 대상으로 일괄 비밀번호 변경을 실시할 계획이라고 덧붙였다.

 

2. [기사] [긴급] 대규모 SQL 인젝션 공격으로 국내 웹사이트 무작위 해킹
[https://www.boannews.com/media/view.asp?idx=79780&page=1&kind=1]
최근 특정 게시판 취약점을 악용한 대규모 SQL 인젝션(Injection) 공격이 발생해 평생교육원, 학교, 학회, 연합회, 학원 홈페이지 등 국내의 수많은 불특정 웹사이트가 피해를 입은 것으로 드러났다. 현재 해커들은 특정 게시판 취약점을 악용해 특정 홈페이지의 자유게시판, Q&A 코너 등의 게시판에 주로 '문의 드립니다', '문의드려요', '문의' 등의 제목을 사용해 공격을 감행하고 있다. 침해당한 홈페이지에는 u6.gg, kks.me, uee.me 등 총 18개의 단축 URL이 삽입되어 있으며 국내 특정 회사의 호스팅 서버들이 정보 수집용으로 악용되고 있는 것으로 알려졌다. 위협 정보 공유 서비스 제로써트(ZeroCERT)는 "침해당한 웹사이트의 데이터베이스까지 탈취되었을 가능성도 배제할 수 없다"며 2차 피해 가능성을 제기했다. 또한 "추가 악성코드 유포 등의 피해가 발생 수 있다"며 홈페이지 관리자들이 웹사이트 침해 유무와 함께 게시판 취약점 여부 등을 반드시 확인해야 한다고 덧붙였다.

 

3. [기사] Two more Microsoft zero-days uploaded on GitHub
[https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/]
익명의 보안 전문가 SandboxEscaper가 윈도우 10 제로데이를 공개한지 하루 만에 마이크로소프트 제로데이를 두 개 더 공개했다. 또한 앞으로 제로데이를 두 개 더 공개할 것이라고 발표했다. 첫 번째 취약점은 윈도우 오류 보고 서비스에서 발견된 로컬 권한 상승 취약점이다. SandboxEscaper는 해당 취약점이 자신이 작년에 발견한 취약점(AngryPolarBearBug)과 비슷하다며 'AngryPolarBearBug2'라고 이름 붙였다. 또한 신중하게 배치된 DACL(임의 액세스 제어 목록) 작업을 통해 악용될 수 있으며, 익스플로잇에 성공하면 공격자가 임의의 파일을 편집할 수 있는 권한을 획득하게 된다고 설명했다. 두 번째 취약점은 인터넷 익스플로러(Internet Explorer) 11에서 발견된 것으로, 악용하면 공격자가 IE에 악성코드를 삽입할 수 있다. 또한 원격 익스플로잇이 불가하며 후속 공격을 위해 IE의 보안 보호를 중립화하는 데만 사용될 수 있는 것으로 알려졌다.

 

4. [기사] ActiveX Controls in South Korean websites are affected by critical flaws
[https://securityaffairs.co/wordpress/85973/hacking/south-korea-activex-controls-flaws.html]
Risk Based Security가 한국 ActiveX 컨트롤에서 수십 개의 치명적인 취약점을 발견했다고 발표했다. 지난 1월부터 조사한 결과, 가장 많이 쓰이는 ActiveX 컨트롤 10개에서 취약점이 40개가 넘게 발견되었다는 것이다. 또한 공격에 사용되었던 취약점들 중 일부가 제대로 고쳐지지 않은 경우도 있었다고 덧붙였다. 한 전문가는 "발견된 취약점들은 모두 기본적인 것들"이라며 별다른 노력 없이 취약점을 찾을 수 있었다고 설명했다. 또한 정부 사이트를 포함한 많은 한국 웹사이트들이 기술의 위험성에도 불구하고 ActiveX 컨트롤을 사용하고 있어 연구를 시작하게 되었으며, 조사를 통해 20년 전 만들어진 법규 때문이라는 사실을 알았다고 덧붙였다. 사실 한국 정부는 2014년 ActiveX 컨트롤의 필수 사용을 해제하기로 결정했다. 그러나 아직까지도 많은 웹 사이트에서 ActiveX 컨트롤을 사용하고 있어 문제가 되고 있다. 이에 한국 정부는 2020년까지 모든 정부 웹 사이트에서 해당 기술을 제거하겠다는 목표를 세운 바 있다. 한편 한국의 보안연구 단체 이슈메이커스랩(IssueMakersLab)은 2007년부터 2018년 사이 북한이 연관되어 있다고 알려진 공격의 상당수가 일반적으로 사용되는 ActiveX의 제로 데이 결함을 악용한 것이라는 보고서를 발표하기도 했다.

 

5. [기사] 더 강력해져서 돌아온 사탄 랜섬웨어, 침투 기법 늘어나
[https://www.boannews.com/media/view.asp?idx=79743&page=2&kind=1]
보안 업체 포티넷(Fortinet)이 사탄(Satan) 랜섬웨어가 더 강력해져서 나타났다고 발표했다. 2017년 처음 등장한 사탄 랜섬웨어는 리눅스와 윈도우 시스템 모두를 침해할 수 있다. 한 번 시스템에 올라타면 많은 취약점들을 익스플로잇 해서 증식하는 것으로도 유명하다. 새로 발견된 버전 역시 확산을 위해 IP 주소 변경 공격을 시도하고, 모든 IP 주소에 자신이 할 수 있는 익스플로잇 공격을 전부 대입한다. 그리고 확산에 성공할 때마다 다른 스레드를 생성해 다시 감염과 확산을 시도하는 것으로 확인되었다. 포티넷은 사탄 랜섬웨어에 CVE-2017-8046, CVE-2015-1427와 같은 원격 코드 실행 익스플로잇들이 추가되었다고 설명했다. 또한 특정 애플리케이션을 스캔하는 기능을 발견했다고 덧붙였다. 스캔을 통해 드루팔, XML-RPC, 어도비 등에서 나온 앱들을 찾아 명령제어 서버에 전송한다는 것이다. 포티넷의 전문가는 "스캔만 할 뿐 실제로 공격하지는 않는다"며 공격자들이 조만간 이런 앱들에 대한 익스플로잇을 추가할 것으로 보인다고 설명했다. 또한 "사탄 랜섬웨어가 공략할 수 있는 웹 서비스나 애플리케이션의 수가 눈에 띄게 증가하고 있다"며 사용자들의 주의가 필요하다고 경고했다.

첨부파일 첨부파일이 없습니다.
태그 AngryPolarBearBug2  ActiveX 컨트롤  Satan  Google