Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 6일] 주요 보안 이슈
작성일 2018-11-06 조회 664

1. [기사] USB drives are primary vector for destructive threats to industrial facilities
[https://securityaffairs.co/wordpress/77676/malware/industrial-facilities-malware.html]

USB 이동식 저장 장치가 산업 시설에 공격에 대한 주요 원인으로 밝혀졌다. Honeywell이 발표한 보고서에 따르면, 산업 시설에 대한 멀웨어 기반 공격은 대부분 USB 이동식 저장소 장치를 이용한다. 
SMX(Secure Media Exchange)를 통해 에너지, 석유, 가스, 화학 제조, 펄프, 그리고 다른 분야들에 대한 공격을 분석했고, 4대륙의 50개 지역에서 데이터를 수집했다. 분석의 44%에서 SMX는 한개 이상의 의심 파일을 차단했다. 26%는 산업 제어 환경에서 중대한 혼란을 야기할 수 있는 가능성을 갖고 있었고, 16%는 ICS(Industrial Control System) 혹은 IoT를 목표로 삼았다. 나머지 15%에서는 Mirai(6%), Stuxnet(2%), Triton(2%), Witon(2%)가 존재했다. 
악성코드 기능 분석 결과, RAT 기능을 구현한 악성 코드 중 32%가 RAT 기능을 구현하고 12%가 드로퍼 기능 및 10%의 DDoS 기능을 구현한 것으로 나타났다. 발견된 악성 프로그램 중 9%는 USB 프로토콜 또는 인터페이스의 결함을 직접 사용하도록 설계되었다. 2%는 일반적인 HID(Human Interface Device) 공격과 관련이 있다. HID(Human Interface Device) 공격에서는 USB 호스트 컨트롤러가 연결된 키보드가 있다고 속여 악성코드가 명령을 입력하고 응용 프로그램을 조작할 수 있다. 

 

2. [기사] High severity XML external entity flaw affects Sauter building automation product
[https://securityaffairs.co/wordpress/77686/hacking/sauter-building-automation-flaw.html]

Sauter AG의 빌딩 자동화 제품에 심각한 취약점이 존재한다. 이를 통해 공격자는 영향을 받는 시스템에서 파일을 훔치기 위해 시스템에서 인증되지 않은 파일을 원격으로 검색할 수 있다. 해당 취약점(CVE-2018-17912)은 고위험 XXE(XML external entity) 취약점으로 인해 발생한다. 
영향 받는 제품은 CASE Suite 버전 3.10 및 이전 버전과 CASE 센서, CASE 구성 요소, CASE VAV 애플리케이션에 영향을 미친다. CVSS 점수는 7.5이며, 개인 정보, 계정 크레덴셜 및 구성 데이터를 비롯한 취약한 시스템에서 파일을 훔칠 수 있다. 또한, 이 취약점을 이용하여 DoS(서비스 거부) 상태를 발생시킬 수도 있다고 밝혔다. 해당 취약점 패치는 현재 출시되었다.

 

3. [기사] Flaw in Icecast streaming media server allows to take off online Radio Stations 
[https://securityaffairs.co/wordpress/77691/hacking/icecast-media-server-flaw.html]

Icecast 스트리밍 미디어 서버에 공격자가 온라인 라디오 방송국 방송을 중단시키기 위해 이용할 수 있는 CVE-2018-18820 추정 취약점이 존재한다. Icecast는 오디오와 비디오 데이터를 모두 지원하며 Xiph.org 재단에 의해 유지된다. 해당 취약점은 공격자가 서버의 스택 내용을 덮어쓰는 HTTP 헤더를 통해 원격 코드가 실행될 수 있다. Icecast는 일반적으로 인터넷 라디오 방송국을 주최하는데 사용되기 때문에, 공격자는 방송국을 방송에서 끌 수 있다. 영향을 받는 버전은 2.4.0에서 2.4.3이며 URL 인증을 사용하는 서버이다. 전문가는 DoS 상태를 일으키는 서버 프로세스의 분할 오류를 초래한 개념 증명(Proof-concept) 취약성을 개발했다. 이 전문가는 추가 작업을 통해 영구적인 공격자가 취약한 시스템의 원격 코드를 완전히 실행할 수 있다고 지적했다. 
해당 취약점은 신속히 조치가 이루어졌으며, 해결 방법은 snprintf에서 반환 값을 확인하기만 하면 post_offset이 버퍼의 끝을 지나서 오류를 기록하고 루프를 종료한다. 사용자들은 가능한 빨리 설치를 버전 2.4.4로 업그레이드해야 한다.

 

4. [기사] Intel CPUs fall to new hyperthreading exploit that pilfers crypto keys
[https://arstechnica.com/information-technology/2018/11/intel-cpus-fall-to-new-hyperthreading-exploit-that-pilfers-crypto-keys/]

SMT(Simultaneous Multithreading)이라고 불리는 CPU 프로세스에 존재하는 취약점에 대한 공격이 발표되었다. 그러나 이번에는 PortSmash라고 불리는 Side-channel 공격이 CPU에서 발견되었다. Side-channel 공격은 다른 유형의 프로세스에 사용되는 정보를 수집하기 위해 리버싱 엔지니어링을 사용하는 공격이다. 이런 공격은 메모리 캐시를 사용하는 시스템 혹은 SMT를 사용하는 시스템을 포함한다.
이 공격은 CPU의 SMT 프로세스에 존재하는 CVE-2018-5407 취약성을 이용하므로 칩이 동시에 둘 이상의 프로그램을 실행할 수 있다. 한 코어에서 여러 개의 스레드를 동시에 실행할 수 있기 때문이다. SMT를 갖고있는 모든 칩들이 영향을 받는다. 이 공격은 PC 또는 서버에 대해 실행할 수 있으며, 채널 공격을 사용하여 TLS 서버에서 OpenSSL 개인 키를 훔치는 방법을 시연했다. CVSS점수는 4.8이며 문제를 해결하려면 BIOS에서 SMT/hyperthreading을 사용하지 않도록 설정해야 한다. 

 

5. [기사] 다크웹에 뜬 페이스북 계정 판매 광고, 확인해보니
[https://www.boannews.com/media/view.asp?idx=74319&mkind=1]

페이스북에서 또 다른 정보 유출 사고의 흔적이 발견됐다. 이번에는 257,256개의 프로파일이 도난당한 것으로 보이며, 이 중 81,208개는 비밀 메시지들도 함께 포함되어 있다고 한다. 지난 9월 블랙햇 SEO(BlackHat SEO) 다크웹 포럼에서 한 광고가 올라온 것을 보고 수사를 시작했다. 광고에는 1억 2천만 개의 페이스북 계정을 구매하는 게 가능하다고 나와 있었으며, 25만여 개의 계정이 견본처럼 올라와 있었다. 11월 2일자 블로그를 통해 “견본으로 올라와 있던 샘플을 분석했으며, 해당 데이터셋에 사용자 이름, 주소, 연락처, 사용자의 취미 및 관심사, 친구, 그룹, 비밀 메시지가 포함되어 있었다”고 밝혔다. 페이스북은 이 사건이 악성 브라우저 확장 프로그램 때문에 발생했다고 주장하며 책임이 없음을 주장한다. 내부 수사를 통해 확인한 결과, 악성 브라우저 확장 프로그램이 연루됐을 가능성이 높다. 따라서 페이스북 사용자들 모두 현재 사용하고 있는 브라우저 확장 프로그램이나 플러그인을 다시 한 번 확인하고, 100% 신뢰할 만한 요소가 있다면 삭제하거나 비활성화하기를 권고했다. 

첨부파일 첨부파일이 없습니다.
태그 USB  XML Sauter  Icecast  CPU