Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 30일] 주요 보안 이슈
작성일 2017-10-30 조회 1948

1.[기사] MS에서 오픈 소스 스캐닝 툴인 Sonar를 공개했다
[http://securityaffairs.co/wordpress/64796/hacking/micorsoft-sonar-tool.html]

Microsoft는 Microsoft Edge 팀에서 개발한 오픈 소스 linting 및 웹 사이트 검색 도구인 Sonar를 발표했다. 오픈 소스 도구는 개발자가 성능 및 보안 문제를 식별하고 해결할 수 있도록 설계되었으며 GitHub에서 사용할 수 있다. Sonar는 코딩 오류, 성능, 액세스 가능성, 보안, 프로그레시브 웹 응용 프로그램 (PWA) 및 상호 운용성과 관련된 다양한 문제에 대한 코드를 분석하는 linting 도구이다. Sonar는 명령 줄 도구 또는 온라인 버전을 통해 사용할 수 있다. Sonar는 Strict-Transport-Security 헤더를 사용하지 않는 HTTPS 연결을 사용하기 때문에 MitM 공격에 노출되었는지 확인한다. 또한 Sonar는 XSS (사이트 간 스크립팅) 공격을 통해 세션 하이재킹을 방지하기 위해 쿠키 헤더가 보안 및 HttpOnly 특성을 정의하는지 확인한다. 속성을 설정하면 쿠키를 HTTP를 통해 전송할 수 없으며 해당 값은 JavaScript를 통해 액세스 할 수 없다. 또 다른 기능으로는 MIME 스니핑에 의존하는 공격에 관한 것으로, Sonar는 이러한 종류의 취약점을 검사 할 수 있으며, linting 도구는 웹 사이트가 취약한 클라이언트 측 JavaScript 라이브러리 또는 프레임 워크를 실행하는지 확인할 수 있다. 


2.[기사] 삼성에서 갤럭시 S5 40대로 비트코인 채굴기 만들어...
[https://motherboard.vice.com/amp/en_us/article/3kvdv9/samsung-upcycling-galaxy-s5-bitcoin-mining-rig]

삼성의 새로운 "업 사이클링(upcycling)"이니셔티브를 통해 기존 휴대폰으로 부터 새로운 기능을 발견할 수 있다.
스마트 폰은 유비쿼터스이지만 스마트 폰을 사용하는 습관은 다양하지만 대부분의 사람들은 2년을 주기로 핸드폰을 교환한다. 그럼 기존에 사용하던 휴대폰은 그냥 서랍속에 방치된다. 삼성 전자는 더 이상 사용되지 않고 방치되는 스마트 폰을 새로운 브랜드로 바꾸기 위해 '업 사이클링 (Upcycling)'사업을 시작했다. 업 사이클링 (upcycling)은 오래된 디바이스를 재판매하는 대신 재사용하는 것이다. 대표적인 예로는 삼성이 자사의 업 사이클링 이니셔티브를 위해 40개의 구형 Galaxy S5 장치를 이용해 비트코인 채굴기를 제작했다. 샌프란시스코에서 열린 최근의 개발자 컨퍼런스에서 삼성은 이 장비를 선보였으며, 오래된 휴대폰에 대한 멋진 재사용 사례를 선보였다. 삼성은 비트 코인 채굴기에 대한 구체적인 질문에 대답하지 않았지만, 개발자 컨퍼런스의 정보 시트에 따르면 8개의 갤럭시 S5 장치가 표준 데스크톱 컴퓨터보다 더 높은 전력 효율성으로 채굴 될 수 있다고 한다.


3.[기사] 공공 와이파이 40%가 보안에 취약하다
[http://www.boannews.com/media/view.asp?idx=57753&mkind=1&kind=2]

정부 및 지방자치단체가 공공 와이파이(Wi-Fi) 확대에 열을 올리고 있지만, 이 중 40%는 보안에 무방비한 것으로 알려졌다. 더불어민주당 박홍근 의원은 과학기술정보통신부로부터 제출받은 ‘공공와이파이 구축현황’을 근거로 이와 같이 주장했다. 박홍근 의원은 현재 정부가 운영 중인 공공 와이파이는 1만 2,300여 곳이며, 이 중 60% 정도만 암호화 접속기능을 지원해 나머지 40%인 4,920여 곳은 보안에 무방비한 상황이라고 지적했다. 박 의원의 지적은 지난 12일 자유한국당의 송희경 의원이 지적한 공공 와이파이가 보안 공유기를 사용하지 않아 해킹위협에 노출됐다는 주장과 일치한다. 송 의원은 올해 1·2분기 현장 점검 결과 공공 와이파이가 구축된 74곳 중 보안 공유기가 설치되지 않은 곳은 32곳(43.2%)으로 조사됐다고 설명했다. 그러면서 송 의원은 공유기만 장악하면 연결된 스마트폰이나 노트북 등 장비의 정보를 수집할 수 있으므로 이에 대한 대책마련이 시급하다고 강조했다. 이와 관련 과기정통부는 공공 와이파이에 방화벽이 구축됐고, 트래픽 탐지도 하고 있기 때문에 보안상 문제가 없다는 입장이지만, 박 의원은 간단한 프로그램만으로도 공공 와이파이에 접속한 스마트폰의 IP주소와 기종, 이메일 아이디와 비밀번호, 심지어 메일 내용까지 확인이 가능하다고 주장했다. 


4.[기사] LG HomeHack, 로그인 우회로 LG 가전제품 제어 가능
[https://thehackernews.com/2017/10/smart-iot-device-hacking.html]
[https://www.infosecurity-magazine.com/news/homehack-flaw-allows-spying/]

스마트 장치는 우리 삶을 편리하게 하지만, 해커가 이를 해킹할 수 있다면 개인 정보를 침해할 가능성이 크다. Check Point의 보안 연구원이 실시한 연구에 따르면 LG가 제조한 스마트 홈 장치에 개인 정보 보호 문제가 존재하는 것으로 밝혀졌다. Check Point 연구원들은 LG SmartThinQ 스마트 홈 장치에서 LG가 제조한 냉장고, 오븐, 식기 세척기, 에어컨, 건조기 및 세탁기와 같은 인터넷 연결 장치를 하이재킹 할 수 있는 보안 취약점을 발견했다. 해커들은 카메라 장착 로봇 진공 청소기인 LG의 Hom-Bot을 원격으로 제어할 수 있으며, 장치 근처의 모든 것을 감시하기 위해 라이브 비디오 피드에 액세스 할 수 있었다. 이 해킹 공격은 해커와 대상 장치가 동일한 네트워크에 있어야 할 필요조차 없었다. HomeHack이라는 취약점은 LG의 SmartThinkQ 가전 제품을 제어하는 데 사용되는 모바일 앱 및 클라우드 애플리케이션에 존재하며 공격자가 원격으로 연결된 모든 어플리케이션을 제어 할 수 있도록 한다. 이 취약점을 이용해 해커가 원격으로 SmartThinQ 클라우드 애플리케이션에 로그인하여 피해자의 LG 계정을 탈취할 수 있다고 연구진은 지적했다.


5.[기사] 구글 브라우저 취약점 패치 (CVE-2017-15396)
[https://threatpost.com/google-patches-high-severity-browser-bug/128661/]

Google은 사용자에게 높은 수준의 스택 기반 버퍼 오버 플로우 취약점과 관련된 보안 문제를 피하기 위해 Chrome 데스크톱 브라우저를 업데이트 할 것을 촉구합니다. 구글은 목요일에 이 경고를 발표했으며 대부분의 브라우저에 대한 업데이트가 공개되었다고 전했다. 구글의 크롬 엔지니어인 압둘시 에드(Abdul Syed)는 "현재 해당 취약점은 Windows, Mac 및 Linux 용 62.0.3202.75로 업데이트 되었으며, 앞으로 수 주일에 걸쳐 출시 될 예정입니다."라고 보안 게시판에 발표한 바 있다. 이 버그는 윈도우 7 이상에서 사용되는 브라우저의 크롬 V8 오픈 소스 자바 스크립트 엔진, macOS 10.5 이상 및 인텔 아키텍처 32 비트 (i386), ARM 또는 MIPS 프로세서를 사용하는 리눅스 시스템과 관련이 있다. Google은 이 스택 버퍼 오버플로 취약점 (CVE-2017-15396)을 둘러싼 세부 사항을 공개하지 않고 있다. "대다수의 사용자가 수정 프로그램을 사용하여 업데이트 할 때까지 버그 세부 정보 및 링크에 대한 액세스가 제한 될 수 있습니다. 다른 프로젝트가 비슷하지만 아직 해결되지 않은 제 3 자 라이브러리에 버그가있는 경우 (공개) 제한을 유지할 것입니다. "고 구글측은 발표했다. 일반적으로 이러한 유형의 버그는 공격자가 대상 응용 프로그램의 컨텍스트에서 임의 코드를 실행할 수 있게 한다. 악의적인 공격 시도는 OWASP Foundation의 취약점에 대한 설명에 따라 서비스 거부 상태가 될 수 있다. 따라서 해당 사용자들은 최신버전으로 업데이트 해야 한다.


6.[기사] “150개국 사이버 공격 ‘워너크라이’ 배후는 北”
[http://mn.kbs.co.kr/news/view.do?ncd=3564274]

지난 5월 영국의 40여 개 병원 컴퓨터가 악성 소프트웨어인 랜섬웨어에 감염되는 사이버 공격을 받았다. 컴퓨터가 마비되고 환자 정보 파일을 열지 못하면서 진료는 물론 수술까지 중단되는 초유의 상황이 벌어졌다. 영국 뿐만 아니라 스페인과 이탈리아, 중국, 러시아 등 150여 개국의 정부 기관과 기업 등의 컴퓨터에까지 큰 피해가 발생했었다. 그런데 이 사이버 공격이 북한의 소행임이 확실하다고 영국 정부가 확인했다. 다만 북한이 어떤 방식으로 사이버 공격을 했는지 등에 대해서는 정보 사항이라며 밝히지 않겠다고 주장했다. 북한이 배후로 알려진 해커 집단 라자루스가 당시 공격을 감행한 것으로 보인다고 영국 BBC가 보도한 이후 첫 공식 확인이다. 영국의 정보 관계자는 북한이 이란과 동남아시아, 중국 등에서 활동하는 범죄조직들과 협력해 해킹 능력을 고도화하고 있다고 전하기도 했다.

첨부파일 첨부파일이 없습니다.
태그   Sonar  LG HomeHack  CVE-2017-15396