Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 8일] 주요 보안 이슈
작성일 2018-11-08 조회 86

1. [기사] WordPress Flaw Opens Millions of WooCommerce Shops to Takeover
[https://threatpost.com/wordpress-flaw-opens-millions-of-woocommerce-shops-to-takeover/138861/]

WordPress 파일 삭제 취약점은 WooCommerce와 같은 플러그인의 원격 코드 실행 취약점으로 상승시킬 수 있다. WooCommerce WordPress 플러그인을 사용하는 최대 400만 사용자가 파일 삭제 취약점에 영향을 받으며, 해당 취약점으로 인해 "shop manager"가 권한을 상승시키고 결국 영향을 받는 웹 사이트에서 원격 코드를 실행할 수 있다. 
많은 플러그인이 존재하지만 가장 많이 사용되는 WooCommerce에 더 많은 영향을 미친다. WooCommerce는 관리자가 모든 설정을 관리할 수 있는 "role"을 설정한다. 공격자는 WordPress에서 취약한 로그 관리자를 열고 페이로드를 주입하여 WooCommerce 플러그인을 삭제할 수 있다. WooCommerce 플러그인을 삭제하는 페이로드가 주입되면 "shop Manager" 역할의 공격자가 "admin"에 액세스할 수 있다. 공격자는 XSS 취약성 또는 피싱 공격을 통해 shop 관리자 역할에 액세스할 수 있다. 
WordPress는 8월에 임의 파일 삭제 취약성을 보고했고, 10월에 패치가 릴리스되었다. WordPress는 지난 1년 동안 다른 다양한 취약점에 직면했다. 


2. [기사] VirtualBox Zero-Day Vulnerability Details and Exploit Are Publicly Available
[https://www.bleepingcomputer.com/news/security/virtualbox-zero-day-vulnerability-details-and-exploit-are-publicly-available/]

VirtualBox의 제로 데이 취약점에 대한 자세한 정보가 공개되었다. 세부 정보에 따르면 이 취약점은 지원되는 모든 운영 체제에서 사용할 수 있는 가상화 소프트웨어의 공유 코드 베이스에 있다. 해당 취약점을 통해 공격자는 시스템의 가상 환경을 벗어나 최소한의 권한으로 대부분의 사용자 프로그램에서 코드를 실행하는 데 사용되는 Ring 3 권한 계층에 도달할 수 있다. 그 후 공격자는 기존 기술을 사용하여 /dev/vboxdrv를 통해 RIng 3로 상승할 수 있다. 연구원은 이 취약점이 NAT(Network Address Translation) 모드에서 Intel PRO/1000 MT Desktop (82540EM) 네트워크 어댑터로 구성된 가상 시스템에서 사용될 수 있다는 사실을 발견했다. 버퍼 오버플로우를 발생시키기 위해, 네트워크 어댑터가 시스템 메모리의 네트워크 패킷 데이터를 추적할 수 있도록 하는 데이터 세그먼트인 패킷 설명자를 사용하여 정수 언더플로우 상황을 만든다. 그런 다음 이 상태를 활용하여 게스트 OS에서 힙 버퍼로 데이터를 읽고 오버플로 상태를 발생시켜 함수 포인터를 덮어쓰거나 스택 오버플로 상태가 발생할 수 있다.
이번 취약점은 올해 초 보고된 5.2.10 버전에 이은 두번째이다. 


3. [기사] Apache Struts vulnerability would allow system take over
[https://www.scmagazine.com/home/security-news/apache-struts-vulnerability-would-allow-system-take-over/]
[https://securityaffairs.co/wordpress/77745/hacking/apache-struts.html]

Apatch Struts에 Commons-fileupload 라이브러리 취약점 2가지가 패치되었다. 해당 취약점은 DoS(원격 코드 실행 및 서비스 거부) 공격에 사용될 수 있다. Apache는 Apache Struts 2.3.x를 실행하는 사용자에게 Commons-fileupload 구성 요소를 업데이트할 것을 촉구하는 권고 사항을 발표했다. Struts 2.3.x는 기본적으로 이전 1.3.2 버전의 Commons-fileupload를 사용한다. Commons FileUpload 라이브러리는 Struts 2의 기본 파일 업로드 메커니즘이며 CVE-2016-1000031로 추적된 위험도 높은 원격 코드 실행 취약성의 영향을 받는다. CVE-2016-1000031은 2년 전에 Tenable의 전문가들에 의해 발견되었으며, 2017년 6월에 Commons FileUpload 버전 1.3.3으로 다루어졌다.
API Commons FileUpload 라이브러리에는 Java 개체가 있다. 이 개체는 다시 초기화될 때 임의 위치의 디스크에 파일을 쓰거나 복사할 수 있다. 게다가 이 새로운 공격 요소는  ysoserial과 통합되어 이진수를 싱글 역직렬화 콜로 업로드 및 실행시킬 수 있다. 2.5.12 이후의 Struts 버전은 이미 라이브러리의 1.3.3을 사용하고 있는 반면, 사용자는 WEB-INF의 Commons-fileuppload JAR 파일을 WEB-INF로 교체하여 Struts 2.3.36 이전 버전을 사용하여 애플리케이션을 수동으로 업데이트해야 한다. 


4. [기사] Rapidly Growing Router Botnet Takes Advantage of 5-Year-Old Flaw
[https://threatpost.com/rapidly-growing-router-botnet-takes-advantage-of-5-year-old-flaw/138869/]

 

라우터 장비를 목표로 하는 새로운 봇넷이 퍼지고 있다. 지금까지 수십만개의 봇이 확인되었으며, 방대한 스팸을 전송하고 있다. 360Netlab 원격측정기 BCMUPnP_Hunter에 따르면 이 봇넷은 9월에 처음 등장했다. BCMUPnP_Hunter는 기본적으로 자체 구축 프록시 네트워크이며, 웹 메일 소스에서 스팸을 보내는 데 사용되는 것처럼 보인다. 봇넷과 잠재적 대상 사이의 상호 작용은 여러 단계를 거쳐 TCP 포트 5431 대상 검색으로 시작하고, 계속해서 대상의 UDP 포트 1900을 확인하여 대상이 적절한 취약한 URL을 보내기를 기다린다. 적절한 URL을 가져온 후 공격자가 셸코드의 실행 시작 주소가 메모리에 있는지 알아내는 데 4개의 패킷 교환이 필요하므로 올바른 공격 페이로드가 만들어져서 대상에 제공할 수 있다.
봇넷의 샘플은 셸코드와 주 페이로드의 두 부분으로 구성된다. 후자에는 BroadCom UPnP 취약성 및 프록시 액세스 네트워크 모듈에 대한 프로브가 포함되어 있다. 주목할만한 점은 이 봇넷이 5년 동안 존재했던 취약점을 활용하고 있다는 것이다. 공격 성공 시, 인증되지 않은 공격자가 루트 권한으로 임의 코드를 실행할 수 있다. 
회사가 관찰한 봇은 약 10만 개이다. 하지만 쇼단 조사에 따르면 40만 개의 감염 가능성이 있다고 한다.


5. [기사] 이란 일반 사용자들을 괴롭히고 있는 세 가지 사이버 공격
[https://www.boannews.com/media/view.asp?idx=74409]

이란의 텔레그램(Telegram)과 인스타그램(Instagram) 사용자들이 해커들의 공격을 받았다. 2017년부터 일부 사용자들이 가짜 로그인 페이지로 안내되는가 하면, BGP 하이재킹 공격을 받기도 했다고 한다. 
공격의 목적은 대부분 개인정보나 로그인 정보를 훔쳐내는 것이었다. 공격 방식은 국가에서 금지한 텔레그램을 사용하기 위해 제3의 사이트에서 설치 파일을 다운로드 하는 것에서부터 시작된다. 이 가짜 앱은 사용자 모바일에 저장된 연락처 정보와 메시지를 죄다 빼가는 기능을 하고 있다. 가짜 인스타그램 앱도 등장했다. 가짜 인스타그램 앱의 경우 전체 세션 데이터를 공격자들에게 보내는 기능을 가지고 있다. 이러한 애플리케이션들 중 일부에서는 데이터를 호스트 서버로 되돌리는 기능이 발견되기도 했다고 밝혔다. 
이런 앱들을 개발한 업체 중, 정상적인 개발 업체인 andromedaa.ir이 있었다. 하지만 이들이 만든 제품은 앱 설명에서부터 인스타그램과 텔레그램에서의 영향력을 높이기 위한 앱이라고 나와 있기 때문에 공식 스토어들에 등록되지 않는다. 전문가들은 andromedaa.ir이 앱을 등록할 때 사용했던 이메일 주소를 확인해 추적한 결과 가짜 앱이 퍼지는 도메인과 같았다. 이외에도 가짜 로그인 페이지, BGP 하이재킹 공격 기법이 일어나고 있다.

첨부파일 첨부파일이 없습니다.
태그 WordPress  VirtualBox  Apatch Struts  Botnet