Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 1일] 주요 보안 이슈
작성일 2017-06-01 조회 2779

 

 

 

 

 

1. [기사] Group-IB, 북한과 Lazarus APT그룹이 동일하다는 증거 제시
http://securityaffairs.co/wordpress/59578/apt/lazarus-apt-linked-north-korea.html
Group-IB의 전문가에 따르면 전세계 은행에서 사용하는 SWIFT시스템에 대한 공격이 가장 많은 단서를 남겼다. 연구진은 Group-IB 활동을 조사하여 해커가 사용하는 복잡한 봇넷 인프라를 분석했다. 사이버 스파이는 공격의 속성에 대한 조사를 더욱 어렵게 하기 위해 SSL 암호화 된 채널을 통해 통신하는 손상된 서버의 3 계층 아키텍처를 사용했다. 암호화 된 트래픽 외에도 SSL 채널을 통해 전송된 데이터는 추가로 암호화되었다. 공격자는 합법적인 VPN 클라이언트 인 SoftEther VPN을 사용하여 익명성을 확보했다. 어떤 경우에는 공격받은 인프라의 일부인 기업 웹 서버도 사용했다. Group-IB는 해커가 C & C 서버 인프라에 속한 두 개의 IP 주소를 사용함을 발견했다. 첫 번째는 210.52.109.22로 중국 회사에 배정되었지만 Group-IB의 출처에 따르면 210.52.109.0/24의 IP 범위가 북한에 할당되었다. 두 번째 IP 주소 인 175.45.178.222는 북한 인터넷 서비스 제공 업체를 가리키며, 이는 포통강 지역에 할당되어 있다. 이것은 군사 방위위원회가있는 지구이다.

 

2. [기사] 구글에 따르면, Gmail은 99%로 피싱,사기 이메일을 차단
https://www.bleepingcomputer.com/news/security/google-says-gmail-now-blocks-99-9-percent-of-spam-and-phishing-emails/
구글은 Gmail의 기계 학습 알고리즘 개선으로 99.9 %의 정확성으로 스팸 및 피싱 메일을 탐지하고 차단할 수 있다고 오늘 발표했다.  Google은 사용자가 Gmail의 받은 편지함에 도착하거나 메일을 남기면서 이메일을 분석하고 이를 카탈로그화하는 기계 학습에 의존하는 새로운 보안 시스템에 큰 발전을 이뤘다. 일련의 네 가지 블로그 게시물에서 구글은 다음날 Gmail에 추가할 새로운 보안 기능에 대해 자세히 설명했다.

 

3. [기사] 1 테라 바이트의 사용자 데이터를 노출하는 1,000 개의 응용 프로그램 용 백엔드 서버
https://www.bleepingcomputer.com/news/security/backend-servers-for-1-000-apps-expose-terabytes-of-user-data/
오늘날 다운로드 할 수 있는 1,000 가지 앱이 있다. 악성 코드가 없거나 눈에 띄는 취약점이 있지만 부적절하게 보호된 백엔드 서버에 데이터를 저장하고 통신하여 사용자 데이터를 노출시킨다. 앱 개발자들 사이에서 인기있는 기술인 Elasticsearch 서버에 연결된 앱만 보았다. 21K 이상의 보안되지 않은 Elasticsearch 서버에서 43TB 이상의 데이터가 발견되었다. 또한 Appthority 전문가가 분석을 39개 앱으로 제한했을 때, 서버 기술과 상관없이 이 앱이 백엔드 서버와 통신할 때 163.53GB의 데이터를 노출한다는 사실을 알았다. 대부분의 사용자 데이터는 지금까지 도난 당할 가능성이 크다.

 

4. [기사] Cipher0007에 의해 해킹 당한 Sanctuary Dark Web
https://www.bleepingcomputer.com/news/security/sanctuary-dark-web-market-hacked-by-cipher0007/
Cipher0007에 따르면 해킹은 시장 데이터베이스에 SQL 삽입 결함을 발견한 후 발생했다. 해커는 시장의 서버에 쉘을 업로드하기 위해 SQL 삽입 결함을 사용했다고 주장한다. 해커는 SQLi를 사용하여 Sanctuary의 서버에 백도어를 업로드한다. 그런 다음이 백도어를 사용하여 백엔드의 다양한 부분에 액세스하고 시장의 .onion URL을 생성하는 데 사용된 개인 키를 버렸다. Sanctuary 시장은 작은 Dark Web 시장으로, 데이터 덤프, 악성 코드 및 기타와 같은 디지털 제품이 마약 및 무기보다 훨씬 유행하는 몇 안되는 곳 중 하나이다.

 

5. [기사] CentOS 7 5가지 취약점 패치(CVE-2017-7308, CVE-2016-8646, CVE-2016-10208, CVE-2017-5986, CVE-2016-7910)
http://opensourceforu.com/2017/05/centos-7-receives-critical-kernel-security-update/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+LinuxForYou+%28OpenSourceForYou+%29
최신 패치 패키지는 Linux 커널의 packet_set_ring ()에서 발견된 버퍼 오버플로(CVE-2017-7308)를 수정한다. 이 취약점으로 인해 공격자는 잠재적으로 시스템을 손상시킬 수 있는 CAP_NET_RAW에 대한 액세스 권한을 가질 수 있다. 취약점 (CVE-2016-8646)은 커널 shash_async_export () 함수에서 발견되었다. 이 취약점으로 인해 로컬 사용자는 강제 해시 알고리즘을 사용하여 빈 데이터 세트의 암호를 해독 할 수 있다. 또한 조작된 EXT4 파티션을 읽기 전용으로 마운트 할 때 메모리 손상과 관련된 업데이트 패치 취약점(CVE-2016-10208)이 있다. SLAB-Out-of-Bounds 읽기가 가능하고 메모리 장치가 손상될 수 있다. 수정한 네 번째 문제(CVE-2017-5986)는 소켓 tx 버퍼가 가득 찬 경우 Linux 커널의sctp_wait_for_sndbuf 함수에서 BUG_ON을 트리거 할 수 있는 악의적인 응용 프로그램이다. seq_file 구현에서 다섯 번째 결함(CVE-2016-7910)이 발견되어 로컬 공격자가 put () 함수 포인터에서 메모리를 조작할 수 있다. 이 취약점으로 인해 공격자가 메모리 손상을 일으킬 수 있다.

 

6. [기사] 리눅스 커널 권한상승 취약점(CVE-2017-1000367)
http://securityaffairs.co/wordpress/59606/hacking/linux-flaw.html
보안 연구원은 SELinux 사용 가능 시스템에서 파일 시스템의 모든 파일을 덮어 쓰거나 루트 권한을 얻기 위해 악용될 수있는 Linux 결함을 발견했다. CVE-2017-1000367로 추적되는 높은 심각도의 결함은 Linux용 Sudo의 get_process_ttyname ()에 있으며, Sudo가 proc 파일 시스템의 프로세스 상태 파일에서 tty 정보를 구문 분석하는 방식과 관련된다.

 

7. [기사] FreeRADIUS 인증 버그로 원격 서버 제어 가능
https://hotforsecurity.bitdefender.com/blog/freeradius-authentication-bug-allows-for-remote-server-control-18126.html
FreeRADIUS의 인증에 사용되는 공개 소스 네트워킹 프로토콜의 취약점으로 인해 공격자는 유효한 자격 증명을 보내지 않고도 원격으로 서버에 전화를 걸 수 있다. 이 취약점은 CVE-2017-9148로 패치 및 문서화되었지만 FreeRADIUS는 여전히 주요 ISP 및 회사에서도 사용중인 인기있는 RADIUS 서버이고 인증이 완료되지 않은 경우에도 공격자가 TLS 세션을 다시 시작할 수 있다. 때문에 야생에서 악용될 경우 심각한 결과를 초래할 수 있다.

 

8. [기사] 구글, HTTPS 도입하지 않은 사이트들 블랙리스팅 하나?
http://www.boannews.com/media/view.asp?idx=55032&page=1&kind=1
구글이 로그인 페이지 등 비밀번호 입력을 필요로 하는 웹사이트 중 HTTP로만 되어 있는 곳은 전부 블랙리스트에 등록시켰다. 이런 구글의 움직임은 별 다른 발표 없이 은밀히 진행되고 있었다. 이를 발견한 건 보안 업체인 수쿠리(Sucuri)로, “SSL/TLS 인증서만 설치되면 구글은 블랙리스트 명단에서 이름을 삭제해준다”고 한다. 결국 암호화 처리가 되지 않은 연결들에 대해서 구글은 “트래픽 감소를 유발하겠다”는 의도를 가진 것이다. 수쿠리에 의하면 최근 구글이 블랙리스트에 포함시킨 HTTP 사이트들은 최근 도메인을 등록한 곳이라고 한다. 아직 구글의 온전한 신뢰를 받을 시간이 없었던 곳이라는 뜻이다. 하지만 수쿠리가 조사해본 바에 의하면 이 웹사이트들에는 멀웨어나 악성 코드를 포함하고 있지는 않았다. 또한 대부분은 SSL을 활성화시켜 구글의 블랙리스트에서 벗어났다.

 

9.[기사]미 국방부 계약자, 패스워드 없이 아마존 서버에 민감한 파일 남기기
http://thehackernews.com/2017/05/us-defense-contractor.html
https://www.cnet.com/news/us-military-data-reportedly-left-on-unsecured-amazon-server/
새로운 정보에 따르면, 미국 정보 기관에 링크된 민감한 파일들은 비밀 정보없이 미국의 최고 정보 기관 중 하나에 의해 공개된 아마존 서버에 남아 있다고 한다. 누군가가 접근할 수 있는 아마존 클라우드 스토리지 서버에 보안되지 않은 국립 지리-정보국(NGA)에 대한 문서 수십 장을 발겼했다. 이 문서에는 민감한 정보가 담긴 미국 정부 시스템에 대한 암호와 Booz Allen Hamilton의 고위 직원의 보안 자격 증명이 포함되어 있다. Vickery가 발견한 캐시에는 최상위 기밀 파일이 없었지만 분류된 파일 및 기타 자격 증명이 포함될 수있는 코드 저장소에 로그인하는 자격 증명이 문서에 포함되어있었다.

 

10. [기사] YOPIFY 전자 상거래 알림 플로그인에서 수정 된 개인 정보 문제
https://threatpost.com/privacy-issue-fixed-in-yopify-ecommerce-notification-plugin/125971/
많이 사용되는 전자 상거래 플랫폼에서 사용되는 플러그인에 과도한 공유 문제가 있다. Shopify, BigCommerce 및 다른 플랫폼을위한 사이트에서 이루어진 지난 50번의 구매에 대한 팝업 알림을 제공하는 Yopify는 상당량의 고객 개인 정보를 확실한 공격자에게 유출힌다. 팝업에는 플러그인을 사용하는 전자 상거래 사이트에서 최근 50명의 고객의 이름, 최근 성, 도시 및 최근 구매 데이터가 포함된다.

 

11. [기사] WannaCry 공격자는 북한이 아닌 중국과 연관
https://koddos.net/blog/wannacry-attackers-linked-china-not-north-korea-experts/
최근 최대 150여 개국에 영향을 미치는 유명한 랜섬 WannaCry는 공격이 시작된 순간부터 거의 북한에서 온 것으로 의심했다. 그러나 현재 연구원들은 해커가 중국인이라고 생각한다. 연구자 가 특정 메모가 다른 원래 언어에서 한국어로 번역되었다는 증거를 발견했기 때문이다. 조사가 끝난 후. 사용된 언어가 중국어임을 발견했다. 즉, WannaCry를 만들고 파견 한 사람은 중국인이었다. 그뿐만 아니라 연구원들은 또한 중국 메시지가 원주민에 의해 쓰여진 것처럼 보이기 때문에이 메모 작성자는 중국 출신이라는 가정을 했다. 대신,이 메모는 중국어로 작성되어 수동으로 영어로 번역된 다음 Google 번역을 통해 영어에서 다른 언어로 번역되었다.

 

12. [기사] WannaCrypt가 너무 자주 발생하는 BSOD때문에 WindowsXP운영체제를 감염시키지 못함
http://www.theregister.co.uk/2017/05/31/windows_xp_probably_too_primitive_to_spread_wannacrypt/
WannaCrypt는 여전히 Windows XP를 실행하는 모든 컴퓨터를 감염시킬 수 있지만 XP가 너무 편치 않기 때문에 좀비 상자가 웜의 확산에 크게 기여한 것 같지 않다.
Windows XP 서비스 팩 2 - 감염되지 않음
Windows XP 서비스 팩 3 - 임의의 파란색 화면 죽음 (BSOD), 감염 없음
Windows 7 64 비트 서비스 팩 1 - 여러 번 시도한 후 감염 됨
Windows Server 2008 서비스 팩 1 - 감염을 복제 할 수는 없지만 악용 사례를 보고함

 

13. [기사] 금융회사 Old Mutual에서 개인정보 유출사건 발생
https://businesstech.co.za/news/banking/177021/old-mutual-targeted-in-data-breach/
금융 서비스 회사 인 Old Mutual은 일부 고객 정보에 액세스하는 시스템에 대한 무단 진입을 탐지한 후 고객에게 데이터 유출 사실을 알렸다. 남아프리카 공화국에서 고객의 개인 정보 '고객의 이름, 전화 번호, 일부 투자 가치'를 포함하여 액세스 한 것이다. Old Mutual에 따르면 탐지후 즉시 권한없는 액세스 포인트를 종료하고 보안 제어를 강화하고 향후 발생할 수 있는 그러한 사고를 방지하기 위해 즉각적인 조치를 취했다.

 

14. [기사] [긴급] M2Soft 액티브X 사용자 주의…악성코드 감염 등 위험성 커
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20514
M2Soft의 Crownix Report, Report Designer 제품에서 임의 코드 실행이 가능한 취약점 발견됐다. 낮은 버전의 M2Soft ActiveX 사용자는 악성코드 감염 등의 피해를 입을 수 있어 즉시 최신버전으로 업데이트해야 안전할 수 있다.

 

첨부파일 첨부파일이 없습니다.
태그 M2Soft 액티브X  YOPIFY  FreeRADIUS  CVE-2017-1000367  CentOS