Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 11일] 주요 보안 이슈
작성일 2017-09-11 조회 2404

1.[기사] DolphinAttack으로 Voice Assistants를 해킹할 수 있다
[https://www.infosecurity-magazine.com/news/ultrasonic-dolphinattack-hack-voice/]

보안 연구원들은 아마존, 구글, 애플 등이 만든 음성 보조 장치가 원격 공격자로 하여금 초음파 주파수로 명령을 내림으로써 해킹을 가능하게 한다고 경고했다. 중국의 연구원은 라우드 스피커에서 명령을 브로드 캐스팅하면 돌핀 공격(DolphinAttack)을 통해 수 미터에서 조수를 활성화 할 수 있음을 발견했다. 따라서 원격 공격자는 이론적으로 악성 웹 사이트를 방문하고 사진을 찍는 등의 명령을 주파수를 통해 내릴 수 있다. 결과적으로 피해자와 가까운 거리에서 이를 수행할 수 있다고 주장한다. 그러나 사용자가 하나의 음성만 인식하도록 음성 도우미를 잠근 경우 공격이 작동하지 않는다. 이 기능은 Google Now를 포함한 일부 플랫폼에서 사용할 수 있는 기능이다. 구글과 아마존은 보고서에서 제기된 주장을 조사 중이라고 밝혔다. 중국 Zhejiang University 연구진은 위협을 완화하기 위해 음성 명령을 받을 때 사용되는 스피커를 20kHz이상의 소리를 걸러 내도록 조정해야 한다고 주장했다.


2.[기사] 패치 되지 않은 D-Link 라우터 취약점 공개
[http://www.securityweek.com/unpatched-d-link-router-vulnerabilities-disclosed?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/researcher-publishes-details-on-unpatched-d-link-router-flaws/]

한 연구원이 D-Link DIR-850L 라우터 및 mydlink 클라우드 서비스에 영향을 미치는 여러 패치되지 않은 취약점의 세부 사항을 공개했다. 전문가는 6월 중순, DIR-850L 펌웨어의 A와 B 버전 모두 적절한 보호 장치가 없다는 것을 발견했다. 전자는 공격자가 펌웨어 이미지를 쉽게 위조할 수 있게 하며, 후자는 하드코딩된 암호로 보호되고 있었다. 그는 로그인한 사용자의 인증 쿠키를 훔칠 수 있는 여러 가지 XSS (cross-site scripting) 취약점도 발견했다.  또한 해커가 라우터의 DNS 설정을 변경하고 피해자의 트래픽을 악의적인 서버로 전달한 후 서비스 거부(DoS)를 일으키는 등의 결함을 발견했다. 이 취약점을 통해 인증되지 않은 해커가 대상 장치를 자신의 mydlink 계정과 원격으로 연결하고 암호를 얻을 수 있다. 대부분의 경우 일반 텍스트로 저장되거나 전송되며 라우터를 완전히 제어하게 된다. 현재 D-Link는 DIR-850L 라우터에서 발견한 세 가지 취약점을 패치한 상태이다. 


3.[기사] 안드로이드 사용자, 심각도가 높은 오버레이 공격에 취약해
[https://threatpost.com/android-users-vulnerable-to-high-severity-overlay-attacks/127901/]
[https://www.bleepingcomputer.com/news/security/researchers-reveal-new-toast-overlay-attack-on-android-devices/]

보안 연구원은 "toast attack" 오버레이 취약점으로 인한 심각한 안드로이드 결함에 대해 경고했다. 연구원들은 범죄자들이 작은 팝업으로 작전에 대한 간단한 피드백을 제공하는 기능인 안드로이드의 토스트(toast) 통보, 대상 시나리오에 대한 관리자 권한을 얻고 완전한 통제권을 얻는 공격 시나리오를 사용할 수 있다고 말했다. 영향을 받은 대상은 Android 8.0, Oreo 이전의 모든 Android 운영체제 버전이다. "안드로이드 8.0은 비교적 최근의 릴리스이기 때문에 거의 모든 안드로이드 사용자가 이 취약점을 해결할 수 있는 업데이트를 적용해야 합니다."라고 결함을 발견한 Palo Alto Networks Unit 42의 연구원은 말했다. 토스트 취약점을 이용하면 공격자가 Android 폰에서 "오버레이"공격을 쉽게 수행할 수 있다. 이러한 유형의 공격은 또한 악의적인 소프트웨어가 장치를 완벽하게 제어할 수 있도록 한다. 최악의 공격 시나리오에서 이 취약점은 기기를 사용할 수 없게 만들거나 ransomware 또는 모든 종류의 맬웨어를 설치하는 데 사용될 수 있다. 이 취약점에 대한 패치 (CVE-2017-0752)가 화요일 9 월에 안드로이드 보안 게시판에 발표되었다.


4.[기사] 대학·대기업 등 5곳의 네트워크 프린터 해킹...IoT 보안 비상
[http://www.boannews.com/media/view.asp?idx=56912&mkind=1&kind=1]

국내 교육기관 3곳과 교육관련 협의회 1곳, 국내 유수의 대기업 1곳 등 총 5곳의 네트워크 프린터 기기가 해킹된 정황이 포착됐다. 9일 이를 본지에 알려온 제보자는 “국내 대학교 3곳과 협의회, 대기업 등 총 5곳의 학교·기관·기업에 설치된 네트워크 프린터 기기가 해킹된 정황이 포착됐다”며 “모두 동일범의 소행으로 보인다”고 말했다. 해킹 정황이 포착된 프린터의 화면을 살펴보면 마지막 업데이트 일자는 9일 오전 11시 30분으로 표기돼 있다. 5개의 프린터 화면에 표시된 Remote UI와 Location, Support Links에서 링크 부분에는 모두 ‘HACKED BY BABAYOGA’라고 표기돼 있으며, 해커의 이름으로 링크를 걸어놨다. 이는 해킹된 5개 프린터 기기 모두가 동일범의 소행으로 추정되는 대목이다. 국내 대학과 대기업 등에서 널리 사용되고 있는 프린터의 해킹 정황이 잇따라 포착됨에 따라 네트워크로 연결되는 사물인터넷(IoT) 기기 보안에 다시금 비상이 걸렸다. 대부분의 가전제품을 비롯해 사무용품이 인터넷에 연결되면서 사물인터넷 기술은 비약적으로 발전하고 있는 반면, IoT 기기에 대한 보안 적용은 아직 미흡하다는 게 이번 사건에서 여실히 드러났기 때문이다. 이와 관련 악성코드 수집가 엘뤼아르는 “프린터가 해킹되는 사례가 국내에서 종종 발견되고 있다”며 “지난 2월에는 프린터 기기에서 무선으로 인쇄 명령을 내리고, 특정 이메일 주소로 인쇄 정보를 전송한 사건이 발생한 적이 있는데, 해커가 원격으로 프린터 기기를 제어해 악의적인 행동을 취할 수 있다”고 우려했다. 이에 그는 “와이파이(Wi-Fi) 모드나 AP 모드 등 무선 네트워크로 연결 시 보안에 취약할 수 있기 때문에 보안에 각별히 신경써야 한다”고 강조했다.


5.[기사] Equifax, 1억 3천만의 개인정보 해킹 피해
[https://www.bleepingcomputer.com/news/security/highly-sensitive-details-of-143-million-users-stolen-in-equifax-hack/]
[https://www.databreachtoday.com/equifax-breach-exposed-data-143-million-consumers-a-10275]
[http://nypost.com/2017/09/08/equifax-blames-giant-breach-on-vendor-software-flaw/]

Equifax의 1억 4300만명 고객의 개인 정보가 해킹되었다. 해커는 사회 보장 번호를 포함한 정보에 액세스 할 수 있었다. 이 사고의 원인은 아파치 재단이 만든 오픈 소스 소프트웨어 Apache STRUTS에 결함이 있었기 때문이라고 회사는 밝혔다. STRUTS는 Fortune 100대 기업 중 약 65 %가 사용하는 널리 사용되는 소프트웨어 시스템이다. STRUTS는 적어도 3월 이후로 해커들의 공격을 받고 있는 것으로 추정된다. 아파치는 지난 3월부터 자사의 STRUTS 시스템에 대해 여러 패치 또는 소프트웨어 수정본을 발표했다. 하지만 그 이후로 회사가 시스템을 패치했는지 여부는 확실하지 않다. Equifax의 CEO 인 Rick Smith는 YouTube 동영상에서 사건에 대해 사과했고 영향을 받은 사람들 뿐만 아니라 모든 미국 시민에게 무료 신용 모니터링 서비스를 제공하겠다고 제안했다.


6.[기사] 에너지기업 타깃 ‘드래곤플라이 2.0’ 사이버공격 재기돼
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=23655]

에너지 산업분야를 겨냥한 사이버 스파이 그룹 드래곤플라이(Dragonfly)의 공격이 새로운 양상으로 다시 확산되고 있다. 국내 관련 기업들도 각별한 주의를 기울여야 한다. 최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버 공격은 심각한 타격을 입힐 수 있는 공격으로, 이 공격의 배후 그룹은 드래곤플라이(Dragonfly)로 알려졌다. 원래의 드래곤플라이 캠페인은 공격자가 목표로 삼은 조직의 네트워크에 단순히 접근하고자 하는 ‘탐색 단계’였던 것에 불과한 것으로 보인다. 그런데 최근의 공격 캠페인들이 더욱 파괴적인 목적 달성을 위해 운영체제에 접근했을 가능성을 감안하면, 새로운 단계의 공격에 돌입할 가능성이 있음을 시사하고 있다. 이번에 확인된 드래곤플라이 공격에서 가장 주목해야 할 부분은 공격자들의 화면 캡쳐 활용이다. 공격자들이 ‘기기 설명 및 위치’, ‘조직명’ 등 구분이 용이한 포맷을 활용해 화면 캡쳐 파일을 표시하는 특정 사례가 포착됐다는 것이다. 다수의 기기 설명에 사용된 문자열 “cntrl”은 해당 기기들이 운영체제에 접근이 가능하다는 것을 명시하고 있는 것으로 보인다. 윤광택 시만텍코리아 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며 “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고 보안패치를 적용해야 할 것”이라고 당부했다.

첨부파일 첨부파일이 없습니다.
태그