Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 13일] 주요 보안 이슈
작성일 2019-08-13 조회 294

1. [기사] CVSS 점수로는 취약점 관리 불가능하다는 주장 나와

[https://www.boannews.com/media/view.asp?idx=82171&page=1&mkind=1&kind=1]

보안 업체 켄나 시큐리티(Kenna Security)의 수석 데이터 과학자인 마이클 로이트만(Michael Roytman)과 사이엔시아 인스티튜트(Cyentia Institute)의 제이 제이콥스(Jay Jacobs)가 ‘예측 가능한 취약점 점수 시스템(Predictive Vulnerability Scoring System)’이란 내용의 강연을 했다. 여기서 두 전문가는 “취약점 그 자체보다 취약점 관리가 더 악독한 문제”라며 “현재의 관리 체제는 지금 발견되고 있는 취약점의 수량을 감당하지 못한다”고 주장했다. 그러면서 실제 익스플로잇에 활용되는 건 2~5%에 불과하기 때문에 ‘익스플로잇 가능성’에 대한 점수 체계가 필요하다고 주장했다.  10가지가 훨씬 넘는 요소들을 반영해 취약점이 실제 공격에 활용될 가능성을 점친다는 것이라고 설명했다. 그러므로 패치가 시급한 취약점부터 정리가 된다고 말했으며, 점수에 반영되는 요소들은 CVE, CVSS 점수, 개념증명용 코드 유무 및 심각성, 해커들이 사용하는 익스플로잇의 존재 유무, 호환되는 OS 등이라고 설명했다.


2. [기사] 또 입사지원서? 비너스락커 조직 ‘소디노키비 랜섬웨어’ 다시 유포
[https://www.boannews.com/media/view.asp?idx=82177&kind=1&sub_kind=]

입사지원서를 사칭한 악성 메일을 통해 ‘소디노키비(Sodinokibi)’ 랜섬웨어가 12일 유포되고 있어 사용자의 각별한 주의가 요구된다. 이번 공격은 지난 8월 6일에도 발생했던 비너스락커 유포 조직의 소행으로 분석됐으며, 특히 과거보다 진화된 방식을 사용하는 것으로 확인됐다. 공격자는 구직자가 입사지원서를 제출하는 것처럼 사칭한 이메일을 통해 랜섬웨어를 유포하고 있으며, 해당 메일은 유창한 한글 표기법을 사용하는 것은 물론 메일 제목 역시 ‘회사명_직무(이름)’ 순으로 기재해 수신자가 실제 입사지원서로 착각해 첨부 파일을 열어보게끔 유도하고 있다고 말했다. 다만 첨부된 파일은 실제 PDF, HWP 문서 파일이 아닌 악성 실행파일(EXE)이며, 공격자는 문서 파일 이름에 긴 공백을 삽입해 수신자가 악성 파일을 PDF나 HWP 문서로 착각해 열어보도록 조작했다고 말했다. 만약 수신자가 이 파일을 문서로 착각해 열어보면, 그 즉시 해커가 만들어 둔 명령제어서버(C2)와 통신해 ‘소디노키비’ 랜섬웨어를 내려 받아 실행 후, 수신자 PC의 주요 데이터를 암호화한다고 말했다.


3. [기사] 큐버네티스에서 발견된 취약점 2개, 생각보다 위험할 수 있어
[https://www.boannews.com/media/view.asp?idx=82162&kind=1&sub_kind=]

컨테이너 오케스트레이션 시스템인 큐버네티스(Kubernetes)에서 발견된 취약점의 패치가 발표됐다. 이 취약점을 패치하지 않을 경우 누군가 사용자가 저장해 둔 자원들을 읽고 편집하고 삭제할 수 있게 된다고 한다. 이 취약점은 CVE-2019-11247로, 한 API 서버가 잘못된 커스텀 리소스에 접근할 수 있도록 해주기 때문에 발생하는 것이다. 특히 리소스가 명칭 공간으로 분류가 되어 있는 것처럼 요청이 전송될 때, 요청자는 클러스터에 있는 커스텀 리소스에 접근할 수 있게 된다는 것이 문제다. “이런 방식으로 접근에 성공하게 된 리소스는 명칭 공간 내에서 역할(role)과 역할 지정(role binding)에 종속될 수 있게 된다”고 설명한다. “이 취약점 때문에 한 가지 명칭 공간에만 접근할 수 있는 사용자가 클러스터 전체에 있는 리소스를 생성, 열람, 업데이트, 삭제할 수 있게 됩니다.”라고 말했다. 큐버네티스에서는 또 다른 취약점이 발견되기도 했다. CVE-2019-11249로, 이전에 발견된 두 가지 취약점에 대한 패치가 불완전해서 생긴 문제다. 이 두 가지 취약점은 CVE-2019-1002101과 CVE-2019-11246 이며, 큐버네티스는 사용자들이 이 두 가지 취약점에 대한 패치를 모두 진행해야 한다고 권고한다. 


4. [기사] Flaws in device drivers from 20 vendors allow hackers to install a persistent backdoor
[https://securityaffairs.co/wordpress/89748/hacking/device-drivers-flaws.html]

연구원들은 Windows PC에 지속적인 백도어를 설치할 수있는 20개 이상의 다른 공급 업체의 40개 이상의 장치 드라이버에서 여러 결함을 발견했다. 권한 상승 문제는 사용자 모드 (Ring 3)에서 OS 커널 모드 (Ring 0)로 작동하고 의심하지 않고 대상 시스템에 지속적 맬웨어를 설치할 수 있도록 악용 될 수 있으며, 공격자는 커널 메모리, MSR (모델 별 레지스터), CR (제어 레지스터), DR (디버그 레지스터) 및 실제 메모리를 읽고 쓸 수 있도록 일부 문제를 악용 할 수 있다고 설명했다. 연구원이 분석 한 모든 결함이 있는 장치 드라이버는 Microsoft에 의해 인증되었으며 합법적 인 인증 기관에서 발급 한 유효한 인증서로 서명되었다. "취약한 드라이버는 공격자에게 운영 체제 아래에있는 "부정적인 "펌웨어 링에 대한 액세스 권한을 부여 할 수도 있으며, LoJax 악성 프로그램에서 볼 수 있듯이, 이는 운영 체제가 완전히 다시 설치 되더라도 악성 프로그램이 장치의 지속성을 유지하기 위해 취약한 시스템 펌웨어 (예 : UEFI)를 공격 할 수있게 한다고 설명한다.


5. [기사] 4G Router Vulnerabilities Let Attackers Take Full Control
[https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/]

여러 회사에서 제조한 4G 라우터의 여러 가지 취약점이 발견되었으며, 이로 인해 사용자가 정보 유출 및 명령 실행 공격에 노출될 수 있음을 발표했다. 좋지 않은 소식은 소비자 등급 라우터 및 대기업 네트워크에 사용하도록 설계된 매우 고가의 장치에 이르기까지 4G 라우터 세트를 검사했을 때, 이러한 보안 결함이 발견되었다. Netgear Nighthawk M1 Mobile 라우터의 경우 사이트 간 요청 위조 우회 (CVE-2019-14526으로 추적) 및 인증 후 명령 삽입 (CVE-2019-14527)을 통해 잠재적 공격자가 임의 코드를 실행할 수 있다고 설명했으며, TP-LINK M7350 4G LTE 모바일 무선 라우터도 명령 주입 결함으로 인해 취약한 것으로 밝혀졌다.

첨부파일 첨부파일이 없습니다.
태그 CVSS  Sodinokibi  Kubernetes  Backdoor  4G Router