보안정보

글로벌 정보보안 리더 윈스

[2020년 2월 26일] 주요 보안 이슈

침해사고분석팀 2020.02.26

1. [기사] 하니웰의 노티파이어넷 웹 서버에서 취약점 2개 발견
[https://www.boannews.com/media/view.asp?idx=86596]
하니웰(Honeywell)이 노티파이어 웹 서버(NWS-3)의 꽤 위험할 수 있는 취약점에 대한 패치를 발표했다. 취약점은 1) CVE-2020-6972 : 인증 우회 취약점 2) CVE-2020-6974 : 정보 노출 취약점 두 가지이다. 노티파이어넷의 인터페이스를 통해 사용자 조직은 여러 개의 스마트 화재 경보 제어판을 한 개의 네트워크에 연결할 수 있게 된다. 웹 서버를 통해 이 한 개의 네트워크에 원격에서 접근할 경우, 사용자들은 사건 발생 히스토리와 상태, 장비 특성 등의 정보를 열람할 수 있게 된다. 이에 하니웰은 4.51 버전으로 업데이트된 펌웨어를 배포하기 시작했다. 패치에 더해 하니웰은 고객들에게 보안 실천 사항을 함께 안내하기도 했다.


2. [기사] 아이폰에서 ‘복붙’하면, 모든 앱이 악성 앱으로 변할 수 있다
[https://www.boannews.com/media/view.asp?idx=86593&page=1&mkind=1&kind=1]
아이폰과 아이패드에서 복사 혹은 잘라내기 이후 붙여 넣기 작업을 실시할 때 데이터가 유출될 가능성이 있다는 지적이 나왔다. 독일의 토미 미스크(Tommy Mysk)가 발견한 것으로 또한 그는 사용자가 스마트폰에 기본적으로 설치된 카메라 앱에서 사진을 복사해 어디론가 붙여넣기 하는 것만으로 애플 취약점 때문에 위치 정보를 노출하는 결과를 낳을 수도 있다고 한다. 하지만 이에 대해 애플은 잘라내 붙여넣는 기능을 취약점이라고 볼 수 없다는 답변을 보냈다고 한다. 클립보드 데이터를 빼돌리는 공격은 암호화폐와 관련된 사이버 공작에서 많이 발견된다. 클립보드 데이터에 공격자가 접근할 경우 사용자 모르게 민감한 정보가 유출될 가능성이 높다는 건 보안 업계가 항상 경고해 온 것이기도 하다.


3. [기사] 목사의 AWK-3131A에서 고위험군 이상 취약점 한 묶음 발견
[https://www.boannews.com/media/view.asp?idx=86595&page=1&mkind=1&kind=1]
시스코 탈로스(Talos) 팀이 대만의 산업용 네트워크 및 컴퓨터 장비 제조 업체인 목사(Moxa)가 만든 제품에서 열 개가 넘는 취약점을 발견했다. 문제가 된 장비는 AWK-3131A라는 것으로, 산업용 AP, 브리지, 클라이언트 장비 모두가 해당한다. 12개 취약점 모두 치명적인 위험도 혹은 고위험군을 가진 것으로 분류되며 익스플로잇 시 각종 악성 공격을 시행할 수 있게 된다고 한다. 공격자가 이 취약점들을 익스플로잇 해 할 수 있는 행위는 대표적으로 1) 권한 상승(루트). 2) 트래픽 복호화(암호화 키가 하드코드 되어 있음), 3) 명령 주입 등이 있다. 탈로스 팀은 지난 10월과 11월 이러한 점을 목사에 알렸고, 목사는 2월 24일 패치를 발표했다.


4. [기사] 한국은 코로나19의 확산으로 고통 받고 있다
[https://securityaffairs.co/wordpress/98420/malware/south-korea-corona-19.html]
이스트시큐리티의 ESRC는 '코로나19 실시간 상태 조회 프로그램'으로 위장한 악성코드를 발견해 국민의 주의를 당부했다. 발견된 악성코드는 'Corona's domestic status' 및 'Corona's real-time corona status' 파일 이름을 사용하는 실행 프로그램(EXE)이다. 파일을 실행하면 "Real-time Corona19 Status"라는 제목의 팝업 창이 나타난다. 팝업 창에는 실제 코로나19를 표시하는 것처럼 확진 환자, 격리 해제(완치), 사망 및 검사 중과 같은 정보가 표시된다. 그러나 악성 프로그램은 사용자 모르게 PC 임시 폴더에 악성 코드를 자동으로 설치한다. 악성코드에 감염되면 사용자 PC는 ▲원격제어 ▲화면 캡처 ▲추가 악성코드 설치 ▲정보 탈취 등 다양한 공격에 노출된다. ESRC는 아직 본격적으로 유포되지는 않은 것으로 판단되지만, 실제 RAT 악성 모듈이 포함되고 있어 유사 변종 위협 가능성을 모두 배제할 수 없다고 말했다.

 

5. [기사] 실제 악용되는 OpenSMTPD RCE 결함 발견
[https://securityaffairs.co/wordpress/98452/hacking/opensmtpd-rce-flaw.html]
전문가들은 OpenSMTPD에서 BSD 또는 Linux에서 실행되는 전자 메일 서버를 해킹할 수 있는 새로운 원격 실행 코드 결함을 발견했다. OpenSMTPD는 FreeBSD, NetBSD, Debian, Alpine Linux를 포함한 많은 Linux 배포판에 존재한다. 결함은 Qualys Research Labs의 연구원들에 의해 발견되었으며 CVE-2020-8794로 추적된다. 전문가들은 공격 시나리오를 통해 이 취약성은 특수하게 조작된 SMTP 메시지를 전송함으로써 로컬 또는 원격 공격자에 의해 악용될 수 있다고 설명했다. Qualys는 2월 26일 이후 악용 세부 정보 및 코드를 공개할 계획이며 BSD 또는 Linux 서버 관리자는 OpenSMTPD 6.6.4p1을 다운로드하여 가능한 한 빨리 패치를 적용하는 것을 권고했다.