Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 2일] 주요 보안 이슈
작성일 2019-08-02 조회 745

1. [기사] 20억개 라우터, 프린터, 스카다, IoT 장비 해킹가능한 ‘Urgent11’ 보안취약점 공개돼
[https://www.dailysecu.com/news/articleView.html?idxno=60836]
아미스(Armis) 연구원들은 프린터, 라우터에서부터 의료 시스템, 산업 장비에까지 영향을 미치는 11가지 취약성에 대한 세부사항을 공개하고 ‘Urgent11’로 명명했다. 이 취약점들은 윈드 리버(Wind River)가 만든 실시간 운영체제인 VxWorks에 영향을 미친다. 이번에 발견된 Urgent11 보안 결함은 TCP/IP(IPnet) 네트워킹 스택에 있으며, 이 스택은 VxWorks RTOS의 구성요소로 장치의 인터넷 연결 또는 로컬 네트워크의 다른 장치에 대한 연결 기능을 관리한다. 
원격코드 실행으로 이어질 수 있는 6가지 취약점은 아래와 같다.
1) CVE-2019-12256: IPv4 패킷 IP 옵션 파싱 과정에서의 스택 오버플로우
2) CVE-2019-12255: 정수 오버플로우를 일으키는 TCP Urgent Pointer = 0
3) CVE-2019-12260: 조작된 TCP AO 옵션으로 야기되는 TCP Urgent Pointer state confusion
4) CVE-2019-12261: 원격 호스트에 연결되는 동안의 TCP Urgent Pointer state confusion
5) CVE-2019-12263: 레이스 컨디션으로 야기되는 TCP Urgent Pointer state confusion
6) CVE-2019-12257: ipdhcpc에서의 DHCP Offer/ACK parsing 힙 오버플로우
서비스 거부, 논리 에러, 정보 유출을 일으킬 수 있는 5가지 취약점은 아래와 같다.
1) CVE-2019-12258: 조작된 TCP 옵션을 통한 TCP connection DoS
2) CVE-2019-12262: 요청되지 않은 리버스 ARP 응답 처리에서의 논리결함
3) CVE-2019-12264: ipdhcpc DHCP 클라이언트에 의한IPv4 배치에서의 논리결함
4) CVE-2019-12259: IGMP parsing 에서 NULL dereference를 통한 DoS
5) CVE-2019-12265: IGMPv3 specific membership report를 통한 IGMP 정보 유출
이러한 취약점들은 6.5버전 이후 모든 버전의 VxWorks RTOS에 영향을 미친다. 11가지 취약점들에 대해서 블랙햇에서 더욱 심도 있게 발표할 예정이다.

 

2. [기사] “AWS 클라우드에 올렸던 캐피털원 고객 1억600만 명 개인정보 유출…데이터 관리 서버 선택시 보안고려해야”

[https://www.dailysecu.com/news/articleView.html?idxno=60842]
지난해 5월 ‘Distil Networks’ 조사 결과, 아마존 AWS, 구글 클라우드, MS Azure 등 외국계 클라우드 기업 보안 위협에 대해 경고가 있었으며, 아마존 AWS 등 해외 클라우드 대역 보안 위협 공격 건수가 최대 4배에 달한다는 내용이었다. 이러한 우려는 최근 미국 대형 은행인 캐피털원의 개인정보 유출 사건으로 현실화했다. 캐피털원이 해킹을 당해 아마존 클라우드에 저장되어있던 1억 600만 명에 이르는 개인정보가 유출되었다. 이러한 지속적인 해킹 시도 위협을 예방하기 위해 공격 아이피 대역 전체를 차단하는 방법이 있지만, 개인이나 중소기업에서 직접 처리하려면 매우 번거롭고 아이피 관리가 쉽지 않다. IP를 차단한다고 해도 글로벌 클라우드 서버들은 수백만 개의 웹사이트를 호스팅하며 IP 범위를 지속적으로 추가하고 있기 때문에 지속적인 대응을 하지 않는다면 무의미하다. 기업에서 데이터를 관리할 서버를 선택할 때 브랜드 파워보다 웹 방화벽, 방화벽 등 실질적인 보안 조치와 지속적인 관리와 같은 충분한 보안정책이 수립되었는지가 업체 선택의 기준이 되어야 한다고 말했다.

 

3. [기사] 구글, 새로운 크롬 통해 플래시 지원 중단하고 취약점 해결
[https://www.boannews.com/media/view.asp?idx=81935]
구글이 윈도우용, 맥용, 리눅스용 크롬 브라우저의 최신 버전을 발표했다. 가장 주요한 특징은 어도비 플래시 플레이어(Adobe Flash Player)에 대한 디폴트 지원이 중단됐고, 40개 이상의 보안 패치가 이뤄졌다는 것이다. 구글은 2020년 12월까지 플래시 지원을 완전히 중단할 예정이다. 그리고 크롬 76을 통해 여러 가지 취약점을 해결했으며, 특히 웹사이트 운영자가 인코그니토 모드(Incognito Mode)를 사용하는 방문자를 탐지할 수 있게 해주는 것으로 알려진 취약점도 이번 패치로 해결됐다. 그 외에도 43개의 보안 취약점들이 패치됐다. 그중 눈에 띄는 건 다음 네 가지이다.
1) 가장 심각한 취약점으로 알려진 건 CVE-2019-5850으로 배정된 UaF 취약점이다. 오프라인 상태에서 페이지를 가져오는 기능에서 발견됐다.
2) 비슷하게 위험한 취약점으로는 CVE-2019-5860이 있다. PDFium 기능에서 발견된 UaF 취약점이다. 
3) CVE-2019-5853은 regexp length check 툴에 있는 메모리 변형 취약점이다.
4) CVE-2019-5851은 오프라인 오디오 상태에서 발현되는 UaP(Use after Poison) 취약점이다.

 

4. [기사] 새로운 Mirai 봇넷은 Tor 네트워크의 C2 서버를 숨겨서 게시 중단을 방지
[https://securityaffairs.co/wordpress/89237/malware/mirai-botnet-tor-c2.html]
Trend Micro 전문가들은 Tor 네트워크에 숨겨진 C2 서버를 사용하는 새로운 Mirai 봇넷을 발견했다. Mirai 악성코드는 2016년 MalwareMustDie가 사물 인터넷(IoT) 기기를 겨냥한 대규모 공격에서 처음 발견했다. Mirai의 코드가 온라인에 유출된 이후, 많은 변종이 등장했다. Tren Micro이 발견한 새로운 변종은 이전의 것과 동일한 기능을 구현하고 있으며, TCP 포트 9527과 34567이 타깃인 것으로 보아 IP 카메라와 DVRs를 겨냥한 것으로 추측한다. 해당 샘플에서 구현된 통신 프로토콜 socks5 사용을 제외하고는 이전의 Mirai 변형과 동일하다. 또한, 전문가들은 UDP flood Attack을 통해 C2 서버에서 특정 IP 주소를 대상으로 보내지는 DDoS 명령을 나타내는 바이트 시퀀스를 확인했다. 전문가들은 C2를 Tor 네트워크에 배치함으로써 IP 주소 추적을 피하고, 법의 집행으로 인해 폐쇄되는 것을 막을 수 있다고 생각하며, 이는 2017년에 발표된 BrickerBot 봇넷을 연상케 한다.

 

5. [기사] CISA, Prima FlexAir 액세스 제어 시스템의 치명적인 결함 경고
[https://securityaffairs.co/wordpress/89202/hacking/prima-flexair-flaws.html]
미국 사이버 보안 기관(CISA)는 Prima FlexAir에서 제조한 출입 통제 시스템에 영향을 미치는 중대한 결함을 경고하고 권고 사항을 발행했다. Prima 액세스 제어는 벽 장착 판독기, 전자식 잠금 실린더, 주차 억세스 제어 장치 및 엘리베이터 제어 장치 등을 포함하여 관범위한 솔루션이 있다. 결함 목록에는  OS Command 인젝션, Unrestricted Upload of File with Dangerous Type(CWE-434), Cross-site Request Forgery(CSRF), Small Space of Random Values(CWE-334), Cross-site Scripting(XSS), Exposure of Backup file to Unauthorized Control Sphere(CWE-530), Improper Authentication(CWE-306), Use of Hard-coded Credentials(CWE-798)이 포함된다. 해당 결함은 PrimaFlexAir 버전 2.3.38 및 이전 버전에도 영향을 준다. CVE-2019-7670으로 추측되는 OS Command 인젝션이 가장 심각한 취약점으로 CVSS 점수 10을 받았다. 그리고 CVE-2013-7669, CVE-2012-7672, CVE-2019-7667로 추측되는 취약점이 존재했다. 그리고 PrimaSystem 버전 2.5.12를 사용하여 이러한 취약점을 해결했다.

첨부파일 첨부파일이 없습니다.
태그 Urgent11  크롬76  Mirai