Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 12일] 주요 보안 이슈
작성일 2019-11-12 조회 192

1. [기사] 서비스형 피싱 43%, MS와 페이팔, DHL과 드롭박스 표적 삼아
[https://www.boannews.com/media/view.asp?idx=84426&page=1&kind=1]
아카마이코리아는 사이버 범죄자가 서비스형 피싱(Phishing as a Service, PaaS)과 같은 엔터프라이즈 기반 개발 및 배포 전략을 통해 세계 최대 기술 브랜드를 이용하고 있다고 밝혔으며, 이 중 42.63%의 도메인이 마이크로소프트, 페이팔, DHL, 드롭박스를 표적으로 삼는다는 연구 결과를 발표했다. 피싱 공격은 다양한 기법으로 끊임없이 변화하고 있으며, 그중 한 기법은 기업 이메일 침해(Business Email Compromise, BEC) 공격이다. FBI에 따르면 BEC 공격은 2013년 10월부터 2018년 5월까지 전 세계에서 120억 달러가 넘는 손실을 초래했다. 아카마이의 모니터링 결과에 따르면 가장 많은 피싱 공격의 표적이 된 기업은 마이크로소프트로 전체 도메인의 21.88%(도메인 3,897개, 변종 키트 62개), 페이팔 9.37%(변종 키트 14개), DHL 8.79%(변종 키트 7개), 드롭박스 2.59%(변종 키트 11개)를 차지했다. 또한, 카마이는 관찰된 피싱 키트 중 60%가 최대 20일 동안만 활성화되었다고 밝혔으며, 공격자가 키트가 탐지되지 않도록 새로운 우회 방법을 계속해서 개발하기 때문에 피싱 키트의 짧은 활성화 기간은 피싱 공격에서 점차 일반화되고 있다. 


2. [기사] TrickBot Malware Uses Fake Sexual Harassment Complaints as Bait
[https://www.bleepingcomputer.com/news/security/trickbot-malware-uses-fake-sexual-harassment-complaints-as-bait/]
미국의 평등 고용 기회위원회(Equal Employment Opportunity Commission)에서 나온 것으로 보이는 가짜 성희롱 불만은 공격자가 TrickBot 뱅킹 트로이 페이로드를 대기업 직원의 컴퓨터에 유포하기 위해 사용하는 최신 미끼이다. 공격자는 'Name_of_Victim – A grievance raised against you'와 같이 전자 메일 제목과 메시지 내용부터 각 악성 스팸 전자 메일과 함께 제공되는 악성 첨부 파일에 이르기까지 잠재적 피해자의 이름을 포함했다. TrickBot 페이로드를 드롭하는 악성 첨부파일 역시 'Name_of_Victim – Harassment complaint letter (phone 111-222-3333).doc'라는 이름을 사용하여 잠재적 피해자가 첨부파일을 확인하도록 했다. 또한, 해당 피싱 메일의 공격자는 오타(harassment 대신 harrassment)가 존재하고, 잘못된 양식을 사용했다. 


3. [기사] ZoneAlarm forum site hack exposed data of thousands of users
[https://securityaffairs.co/wordpress/93711/data-breach/zonealarm-forum-site-hack.html]
보안 소프트웨어 회사인 ZonaAlarm의 토론 포럼 사용자의 데이터가 노출되었다. 공격자는 vBulletin 포럼 소프트웨어의 CVE-2019-16759 원격 코드 실행 취약점을 악용했으며, 이름, 이메일 주소, 해시 된 비밀번호 및 생년월일을 포함하여 포럼 회원 데이터에 무단으로 액세스했다. 현재 ZoneAlarm이나 모회사인 Check Point가 아직 보안 사고를 공개적으로 공개하지는 않았지만, 이번 주말에 영향을 받는 모든 사용자에게 이메일을 통해 조용히 경고를 보냈다. 영향을 받는 회원의 수가 약 4,500명으로 'forums.zonealarm.com' 도메인에만 영향을 미쳤다. Comodo Forums 웹 사이트도 해당 취약점으로 인해 등록된 약 245,000명의 사용자 데이터가 유출되었다. 


4. [기사] 메드트로닉에서 출시한 의료 장비 일부에서 취약점 다수 나와
[https://www.boannews.com/media/view.asp?idx=84421&page=1&kind=1]
의료 장비 제조사인 메드트로닉 밸리랩(Medtronic Valleylab)에서 출시한 제품들에서 치명적으로 위험한 취약점들이 발견됐다. CISA에 의하면 메드트로닉 밸리랩 FT10과 FX8 장비에서 네 개의 취약점이 발견되었고, 이를 익스플로잇 하는 데 성공할 경우 공격자들은 넌루트 셸(non-root shell)을 설치할 수 있게 된다. 위 장비들은 디폴트 상 네트워크나 인터넷에 연결되어 있어서는 안 되는 제품이지만, 실제 현장에서 사용될 때는 인터넷 및 네트워크와의 연결이 흔히 이뤄지며, 따라서 공격자에게 노출되는 일이 드물지 않다고 한다. 문제의 장비들은 하드코드 된 크리덴셜을 여러 개 내포하고 있다. 공격자들에게 노출되었을 경우 공격자들의 파일들에 대한 접근이 자유로워진다. 이는 세 가지 취약점 중 첫 번째로, CVE-2019-13543이라는 번호를 부여받았으며, CVSS 점수는 5.8점을 받았다. 두 번째 취약점은 CVE-2019-13539로, OS 비밀번호 해싱에 해독 알고리즘이 사용된다는 점이다. 해당 취약점을 익스플로잇에 성공할 경우 로컬 셸 접근 권한을 취득해 비밀번호 해시들을 알아낼 수 있으며, CVSS 점수 기준 7.0점을 받았다. 또한 문제가 되는 제품들에 탑재된 rssh 유틸리티 역시 취약한 버전인 것으로 밝혀졌다. 공격자들이 취약점을 통해 파일들에 대한 관리자 접근 권한을 얻어내거나, 임의 코드를 실행할 수 있게 된다. 관리자 접근 권한을 가져가게 하는 취약점은 CVE-2019-3464, 임의 코드 실행 취약점은 CVE-2019-3463이며, 둘 다 CVSS 기준 9.8점을 받았다. 이 취약점들에 영향을 받는 건 밸리랩 익스체인지 클라이언트(Valleylab Exchange Client) 3.4 및 이하 버전, 밸리랩 FT10 에너지 플랫폼(Valleylab FT10 Energy Platform, VLFT10GEN) 소프트웨어 4.0.0 및 이하 버전, 밸리랩 FX8 에너지 플랫폼(VLFX8GEN) 소프트웨어 1.1.0 및 이하 버전이다.


5. [기사] 유명 문서 및 이미징 툴 리드툴즈에서 네 가지 취약점 발견
[https://www.boannews.com/media/view.asp?idx=84419&page=1&kind=1]
네트워크 및 보안 업체 시스코(Cisco)의 탈로스(Talos) 보안 팀이 이미징 툴킷인 리드툴즈(LEADTOOLS)에서 다량의 취약점들을 발견했다. 리드툴즈는 리드 테크놀로지스(LEAD Technologies)라는 개발사에서 만든 것으로, 문서, 의료, 멀티미디어, 이미징과 관련된 기술들을 통합해 놓은 일종의 도구 세트다. 아래 네 가지 취약점 모두 고위험군으로 분류됐고, 전부 CVSS 점수 기준으로 8.8점을 받았다. 취약점 발견 시점은 올해 9월이며, 리드툴즈는 지난주부터 패치를 배포하기 시작했다.
1) CVE-2019-5084 : 힙 아웃 오브 바운드(heap out-of-bounds) 오류
2) CVE-2019-5099 : 정수 언더플로우(integer underflow) 취약점
3) CVE-2019-5100 : 정수 오버플로우(integer overflow) 취약점
4) CVE-2019-5125 : 힙 오버플로우(heap overflow) 취약점

첨부파일 첨부파일이 없습니다.
태그 TrickBot   vBulletin   VE-2019-16759  non-root shell  LEADTOOLS