Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 16일] 주요 보안 이슈
작성일 2019-10-16 조회 221

1. [기사] 임퍼바의 클라우드 웹 앱 방화벽 고객 DB 일부 침해되다
[https://www.boannews.com/media/view.asp?idx=83800]
사이버 공격자들이 보안 업체 임퍼바(Imperva)의 클라우드 웹 애플리케이션 방화벽(Cloud Web Application Firewall, WAF) 고객들의 정보를 훔쳐내는 데 성공했다. 올해 8월 20일 임퍼바는 자사의 클라우드 WAF 제품을 사용하는 고객들 중 일부가 사이버 공격에 피해를 받았음을 인지했다. 공격으로 인해 일부 데이터가 침해되었으며, 이메일 주소, 해시 및 설트 처리된 비밀번호, API 키, TLS 키를 포함한다고 설명했다. 지난주 임퍼바에서 추가로 공개한 내용에 따르면, 누군가 버그바운티를 요청한 것으로 사건의 시작을 확인하고, 데이터가 외부로 유출된 건 2018년 10월인 것을 인지했다. 임퍼바의 CTO는 데이터셋 내의 SQL 덤프를 스냅숏과 비교한 결과 2017년 9월 15일 이전에 만들어진 클라우드 WAF 계정들만 데이터 침해가 발생했으며, 외에는 안전하다고 말했다. 당시 개발자들은 고객의 데이터베이스 스냅숏을 통해 여러 실험을 진행했다. 또한, 내부적인 컴퓨팅 인스턴스를 만들어 외부로부터의 접근을 허용했으며, 내부 컴퓨터 인스턴스 내에 AWS API 키가 존재했다. 공격자들은 해당 API 키를 이용하여 고객의 데이터베이스 스냅숏에 접근한 것으로 보인다. 따라서 지난 8월에 공개된 사건은 임퍼바 제품 내에서 발견된 취약점 때문이 아니라는 것을 임퍼바는 강조했다. 


2. [기사] Adobe Releases Out-of-Band Security Patches for 82 Flaws in Various Products
[https://thehackernews.com/2019/10/adobe-software-patches.html]
Adobe는 4개의 제품(Adobe Acrobat 및 Reader, Adobe Experience Manage, Adobe Experience Manager Form, Adobe Download Manager)에 대한 82개의 취약점을 패치했다. 82개의 보안 취약점 중 45개가 중요 등급이며, 해당 취약점들은 Adobe Acrobat와 Reader에 영향을 준다. Microsoft Windows와 Apple macOS 운영 체제용 Adobe Acrobat와 Reader도 범위를 벗어난 읽기 및 사이트 간 스크립팅 문제로 인해 정보 노출 공격을 초래할 수 있는 23개의 중요한 등급의 취약성에 대한 패치를 받았다. Adobe Experience Manager도 패치를 통해 총 12개의 취약점을 해결하였으며, 8개의 취약점이 중요, 나머지는 보통 수준이다. Acrobat와 Reader, Experience Manager 업데이트 모두 우선 등급 2를 받았으며, 이는 유사한 결함이 악용된 적 있다는 것을 의미하지만 Adobe사에서 취약점이 악용된 증거를 찾지 못했다는 것을 의미한다. 이번 보안 업데이트에서 Adobe Flash Player에 대한 보안 패치는 없었으며, Adobe는 2020년 말에 업데이트 제공을 중단 할 것이라고 말한 바 있다.


3. [기사] sudo flaw allows any users to run commands as Root on Linux
[https://securityaffairs.co/wordpress/92519/hacking/sudo-flaw-cve-2019-14287.html]
대부분의 Linux 및 Unix 시스템에서 명령으로 설치되는 Sudo 유틸리티에서 CVE-2019-14287로 추적되는 보안 정책 우회 취약점이 발견되었다. 해당 취약점은 'sudoers configuration'이 루트 액세스를 허용하지 않더라도 악의적인 사용자가 대상 Linux 시스템에서 루트 권한으로 임의 명령 실행으로 악용될 수 있다. Sudos가 Runas에서 ALL 키워드를 통해 임의의 사용자로 명령을 실행할 수 있도록 sudo를 구성한 경우, 사용자 ID를 -1 또는 4294967295로 지정하여 루트로 명령을 실행할 수 있다. su 명령과 달리 사용자는 기본적으로 대상 사용자의 비밀번호 대신 인증을 위해 비밀번호를 제공해야 하며, 인증되고 구성 파일(/etc/sudoers)이 사용자 액세스를 허용하면 시스템은 요청된 명령을 호출한다. 따라서 사용자는 특정 명령을 루트로 실행하도록 제한되어 있어도 이 취약점으로 인해 보안 정책을 우회하여 시스템을 완전히 인수 할 수 있다. 해당 취약점은 1.8.28 이전 버전에 영향을 주며, 사용자는 sudo 패키지를 최신 버전으로 업데이트해야 한다.


4. [기사] Scammers Use Fake Checkra1n iOS Jailbreak in Click Fraud Campaign
[https://www.bleepingcomputer.com/news/security/scammers-use-fake-checkra1n-ios-jailbreak-in-click-fraud-campaign/]
최근 개발된 iOS 탈옥 사건인 checkra1n을 클릭 사기로 수익을 만들고 앱스토어 순위를 올리기 위한 위한 캠페인의 미끼로 사용하는 공격이 발견되었다. Cisco Talos 연구원들은 해당 스캠 그룹이 탈옥 도구에 대한 관심을 알아차리면서 아이폰 사용자들에게 탈옥할 수 있는 기능을 제공하는 가짜 웹 사이트(checkrain[.]com)를 호스팅했다. checkm8 익스플로잇(checkra1n Jailbreak)은 A5에서 A11 칩셋으로 실행되는 iOS 장치에서만 영향을 미치는데, 해당 웹 사이트가 A13 장치를 언급하고 있다는 사실을 해당 웹 사이트가 합법적이지 않다는 첫 번째 지표라고 연구원은 말했다. 또한, 해당 웹 사이트는 사용자가 PC 없이 checkra1n Jailbreak을 설치할 수 있다고 제안하지만, 실제로 checkm8 공격에는 iOS 기기가 DFU 모드여야 하며 Apple USB 케이블을 통해 익스플로잇 될 수 있어야 한다. 해당 프로그램을 설치하면, 사용자의 iOS에서 checkrain 아이콘을 확인할 수 있다. 사용자의 관점에서 앱처럼 보이지만 URL을 연결하는 일종의 책갈피이며, 시스템 수준에서 전혀 작동하지 않는다. 해당 앱을 실행하면 탈옥이 진행되는 것처럼 속이고, 클릭 사기를 진행한다. 

 

5. [기사] Chinese Hackers Use New Cryptojacking Tactics to Evade Detection
[https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cryptojacking-tactics-to-evade-detection/]
다수의 대규모 악성 암호 채굴 캠페인을 운영하는 것으로 알려진 중국어를 사용하는 사이버 범죄 그룹 Rocke가 이제 새로운 C2 인프라와 탐지를 회피하기 위한 업데이트된 악성 프로그램 등 새로운 전술, 기술 및 절차(TTP)로 전환했다. 지난 3월 Rocke는 Pastbin을 C2로 이용한 LSD라는 Golang 베이스의 드로퍼를 확인했다. 한 달 후, Rocke는 취약한 Confluence 서버에서 CVE-2019-3396을 악용하여 악성 코드를 원격으로 실행 했으며, 7월 하순에는 자체 호스팅한 C2 인프라로 전환하여 서버에서 암호화된 구성 스크립트를 서버에 호스틸할 수 있도록 하였다. 그리고 9월 Rocke는 DNS(Domain Name System) 텍스트 레코드로 이동하여 Pastebin 대신 암호화 설정 스크립트를 저장했다. 또한, C2 변경 외에도 CVE-2016-3088에 취약한 ActiveMQ 서버를 악용하기 위한 기능도 추가되었다. Rocke는 탐지를 계속해서 우회하기 위해 TTP를 계속 발전시키고 있다. 

첨부파일 첨부파일이 없습니다.
태그 Imperva  Adobe   sudo  Checkra1n  Rocke