보안정보

글로벌 정보보안 리더 윈스

[2020년 3월 2일] 주요 보안 이슈

침해사고분석팀 2020.03.02

1. [기사] 익스체인지 서버 노리는 해커들의 스캔 행위, 급증하고 있다
[https://www.boannews.com/media/view.asp?idx=86691&page=1&mkind=1&kind=1]
해커들이 원격 코드 실행 취약점이 여전히 존재하는 마이크로소프트의 익스체인지 서버 인스턴스를 찾고자 인터넷을 뒤지고 있다. 문제의 취약점은 CVE-2020-0688로, 서버가 설치 당시 고유 암호화 키를 제대로 생성하지 못해서 생기는 문제다. 마이크로소프트는 2020년 2월 정기 패치를 통해 이 취약점에 대한 패치를 배포하기 시작했다. 하지만 패치가 모두 적용된 건 아니다. 공격자들의 이러한 행위가 최근 급증한 것은 제로데이 이니셔티브(ZDI)가 CVE-2020-0688 취약점의 기술 정보와 익스플로잇 방법을 상세하게 공개했기 때문으로 보인다. 익스체인지 서버를 사용하는 기업이라면 이번 달 정기 패치를 최대한 빨리 적용할 것이 권고되고 있다.


2. [기사] ‘오토캐드(AutoCAD)’ 설계도면 위장한 악성코드 주의보
[https://www.boannews.com/media/view.asp?idx=86697&page=1&kind=1]
최근 유명 설계 프로그램 ‘오토캐드(AutoCAD)’의 설계도면 파일로 위장해 유포되는 악성코드가 발견돼 사용자 주의가 요구된다. 안랩(대표 권치중)은 오토캐드 사용자를 노린 이번 악성코드가 ‘imageXXX(숫자)_M-003 장비일람표.dwg’라는 이름의 설계도면 파일을 위장했다고 밝혔다. 사용자를 속이기 위해 파일 확장자명(.dwg)을 붙였지만, 실제 확장자는 실행파일(.exe)이다. 특히, 이번 악성코드는 셀프 할로잉(Self Hollowing) 기법을 사용해 자신을 숨기고, 사용자 PC가 시작될 때마다 자동실행 되도록 설정하는 것이 특징이다. 안랩 측은 익숙한 파일명이더라도 실행 전 파일 확장자를 꼭 확인하고 출처가 불분명한 파일은 실행을 자제하는 것이 필요하다고 말했다.


3. [기사] 아파치 톰캣(Apache Tomcat)에서 심각한 취약점 발견! 무료 검사 도구도 배포 중
[https://www.boannews.com/media/view.asp?idx=86702]
아파치 톰캣에서 심각한 취약점 CVE-2020-1938, 고스트캣(Ghostcat)이 발견됐다. 취약점 영향을 받는 버전은 아파치 톰캣 6, 7, 8, 9이다. 익스플로잇에 성공할 경우 공격자는 서버로부터 파일을 읽을 수 있게 되고, 원격 코드 실행 공격도 할 수 있게 된다고 한다. 고스트캣의 영향을 받는 건 톰캣 내에 있는 AJP 커넥터로, 원격에서 인증 과정을 통과하지 못하더라도 공격을 통해 서버에 있는 웹 애플리케이션들의 설정 파일과 소스 코드 파일에 접근할 수 있게 해준다. 중국 보안 업체 차이틴은 취약점에 대한 정보와 익스플로잇을 공개했다. 그러면서 온/오프라인에서 서버의 고스트캣 보유 여부를 확인할 수 있게 해주는 도구를 무료로 배포하기도 했다.


4. [기사] 온라인에 노출된 Straffic Marketing 회사의 4,900만 개의 고유 이메일 주소
[https://securityaffairs.co/wordpress/98733/data-breach/straffic-data-leak.html]
이스라엘 마케팅 회사 Straffic은 실수로 Elasticsearch 데이터베이스에 저장된 4900만 개의 고유 이메일 주소를 노출시켰다. 노출된 Elasticsearch 데이터베이스에는 이름, 이메일 주소, 전화번호, 물리적 주소 및 성별을 포함한 140GB의 연락처 세부 정보가 포함되어 있었다. 암호로 보호되어 있었지만, 자격 증명이 제대로 저장되지 않은 것으로 판단된다. 보안 연구원들은 자격 증명이 온라인에 일반 텍스트로 남아있는 것을 발견했다. Straffic은 피해를 당한 사용자들에게 이 사실을 알리며, 서버 중 하나에서 보안 취약성이 발견되었음을 덧붙였다. 또한 기존 보안 프로토콜을 강화했다고 말했다.


5. [기사] 소디노키비 랜섬웨어 조직, 패션회사 Kenneth Cole에 데이터 공개 위협
[https://securityaffairs.co/wordpress/98694/malware/sodinokibi-kenneth-cole-data-breach.html]
소디노키비 랜섬웨어 담당자가 미국의 패션회사kenneth Cole에서 유출 된 것으로 추정되는 데이터 아카이브에 대한 다운로드 링크를 공유했다. 소디노키비 일당은 금융 및 업무 데이터가 포함 된 문서 7만여 건과, 회사 고객 데이터 6만여 건을 빼돌렸다고 주장했다. 소디노키비 일당은 몸값 지불을 요청했고 회사가 요청을 이행하지 않을 경우 데이터가 포함된 전체 덤프를 온라인으로 유출하겠다고 위협하고 있다. 이번 행위는 충격적이며 랜섬웨어 공격을 더 높은 수준의 위협으로 몰고 가는 것으로, 다른 사이버 범죄 조직들도 이처럼 피해자들을 협박하고 몸값을 강제로 지불하게 하는 유사한 전략을 취하게 할 것으로 예상된다.