Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 15일] 주요 보안 이슈
작성일 2018-11-15 조회 578

1. [기사] Google Services down due to BGP leak, traffic hijacked through Russia, China, and Nigeria
[https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html]
BGP의 유출로 인해 월요일에 구글 서비스가 작동하지 않게 되었다. 트래픽은 러시아, 중국, 나이지리아를 통해 리디렉션되었다. 이는 당시에 BGP 프로토콜이 오류를 일으켜서 발생한 것인지, 사이버 공격의 결과인지는 확실하지 않다. BGP 하이재킹이라 알려진 라우트 하이재킹은 IP 주소 그룹에 대한 라우팅 테이블이 고의 또는 실수로 손상되었을 때 발생한다. 최근 보안 연구원인 크리스 C. Demchak과 Yuval Shavitt은 지난 몇년 동안 중국의 통신사가 중국을 통하는 인터넷 트래픽을 가로채고 있다는 것을 밝혔다. 가장 최근 발생한 BGP 유출은 네트워크 모니터링 회사인 ThousandEyes에서 처음으로 제보되었다. 이들은 구글 클라우드 서비스를 포함한 다양한 구글 서비스가 러시아의 TransTelecom, 나이지리아의 ISP인 MainOne, China Telecom을 지나도록 조정되었음을 발견하였다. BGP 라우팅 모니터링 회사인 BGPmon에 의하면 구글의 네트워크 prefix 212개가 이 리디렉션의 영향을 받은 것으로 밝혀졌다. 구글은 해당 문제의 근본적인 원인이 회사 시스템의 외부에 존재한다는 것을 확인하고 이후 내부 조사를 통해 시스템을 개선할 예정임을 밝혔다.

 


2. [기사] 7 New Meltdown and Spectre-type CPU Flaws Affect Intel, AMD, ARM CPUs
[https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html]
올해 초 공개된 대규모 최신 프로세서 제품군에 영향을 미칠 수 있는 취약점은 사소한 방법으로 매우 민감한 정보에 액세스할 수 있다는 것을 보여주었다. 그 이후로 몇가지 유형의 공격 방법들이 추가로 발견되었다. 새롭게 발견된 취약점들은 인텔, AMD, ARM 등 주요 프로세서 벤더에 영향을 미치는 것으로 밝혀졌다. 보호 키 바이패스 취약점은 Intel CPU에서 메모리 보호 키를 통해 적용되는 읽기 및 쓰기 분리 기능을 무시할 수 있는 취약점이다. 바운스 체크 바이패스는 Intel 및 AMD x86 프로세서를 바이패스하여 아키텍처에서는 볼 수 없는 바운더리를 초과한 암호를 인코딩할 수 있도록 만든다. 뿐 아니라 공격자가 제어하는 주소 공간에서 피해자의 주소로 공격을 수행하는 등 7가지 공격기법들이 공개되었다. 연구원들은 이들의 연구 결과를 Intel, ARM, AMD에 공개하였으며 이 중 Intel과 ARM은 해당 보고서를 인정하고 당분간 해당 문제를 해결하기 위해 노력하기로 한 것으로 알려졌다.

 


3. [기사] Chinese APT Group Exploit Fixed Critical Adobe ColdFusion Vulnerability On Unpatched Servers
[https://latesthackingnews.com/2018/11/14/chinese-apt-group-exploit-fixed-critical-adobe-coldfusion-vulnerability-on-unpatched-servers/]
지난 9월 어도비에서는 ColdFusion에 대한 다양한 취약점들을 보완하였다. 하지만 해당 취약점 보완 패치를 릴리즈한 지 몇 주 후에 연구자들은 해당 취약점이 활발히 사용되고 있음을 발견하였다. 연구에 따르면 해당 취약점을 주로 이용한 것은 중국의 APT 단체로, 해당 그룹은 패치되지 않은 서버를 적극적으로 공격한 것으로 밝혀졌다. 해당 취약점은 무제한 파일 업로드 버그로, CVE-2018-15961 코드를 부여받았다. 해당 버그를 악용하면 임의의 코드를 실행시킬 수 있다. Volexity는 해당 취약점은 간단한 HTTP POST 요청을 통해 제한되지 않고 인증이 필요하지 않은 파일을 올리는 방식으로 쉽게 악용할 수 있다고 밝혔다. 어도비는 해당 취약점에 대한 패치를 적용하였지만 해커들은 아직 패치되지 않은 서버의 버그를 활용하여 공격을 가했다. 이러한 해커들의 공격을 방지하기 위해서는 소프트웨어를 최신 버전으로 패치해야 하며, ColdFusion 서버의 액세스를 몇 개의 승인된 IP 주소만 가능하도록 제한할 것이 권장되고 있다.

 


4. [기사] Facebook Patches Another Vulnerability That Exposed User’s Private Information
[https://gbhackers.com/private-information-of-facebook/]
페이스북이 최근 공격자들이 페이스북 사용자의 개인 정보를 수집할 수 있도록 하는 취약점을 패치했다. Imperva의 보안 연구원인 론 마사스는 페이스북의 온라인 검색 결과를 확인하는 중 이 취약점을 발견하였고, 그는 각 결과에 페이스북 내부 추적을 위해 사용되는 iframe 요소가 포함되어 있음을 알아차렸다. 이는 대부분의 검색 엔드포인트가 CSRF로부터 보호되어 있지 않아 URL을 통해 검색 결과 페이지를 공유할 수 있기 때문에 발생하였다. 또한 그는 페이스북의 그래프 검색을 조작함으로써 검색 쿼리를 만들고 사용자의 행동에 그것을 반영하는 것이 가능하다고 밝혔다. 이는 특히 열려 있는 탭이 백그라운드에서 쉽게 손실되어 사용자가 동영상을 보거나 공격자의 사이트에서 문서를 읽는 동안 공격자가 여러 쿼리에 대한 결과를 추출할 수 있기 때문에 모바일 사용자들에게 특히 위험한 취약점이다. 그는 페이스북에 프로그램의 취약점을 보고했고, 최근 해당 취약점은 패치되었다.

 


5. [기사] 진행형 위협이자 모듈형 멀웨어인 이모텟, 최근 다시 급증
[https://www.boannews.com/media/view.asp?idx=74585&page=1&mkind=1&kind=1]
이모텟 뱅킹 트로이목마를 퍼뜨리는 대형 스팸 캠페인이 적발되었다. 이는 새로운 대규모 이메일 수집 모듈이 발견된 후 1주일도 지나지 않아 시작된 것으로, 멀웨어의 개발과 실제 공격 사이의 간격이 갈수록 줄어들고 있음을 보여준다. 이모텟은 원래 전형적인 뱅킹 트로이목마이나, 다른 공격을 시작하기 위해 2차 페이로드를 심는 드로퍼의 역할을 수행하기도 한다. 이외에도 크리덴셜 탈취, 네트워크 증식, 민감한 정보 수집, 포트 포워딩 등의 기능 또한 가지고 있다. 이는 이모텟이 모듈 구조를 가지고 있기 때문인데, 이 때문에 여러 기능이 탈부착될 수 있는 것이다. 미국의 CERT는 이모텟이 국가, 주, 지역 정부 기관을 위협하는 가장 파괴적인 멀웨어 중 하나라는 것을 경고하기도 했다. 최근 이모텟에 새로운 모듈이 추가되어 피해자의 이메일 계정과 장비에 저장된 연락처 목록을 수집할 수 있게 되었는데, 이와 함께 해당 모듈을 동반한 공격 캠페인이 빠르게 증가하고 있음이 밝혀졌다. 해당 취약점을 발견한 ESET 측에서는 이모텟이 현존하는 사이버 위협으로 해당 공격 툴은 계속해서 발전하고 있음을 경고하면서 이모텟에 대한 감시와 대비를 당부하였다.

첨부파일 첨부파일이 없습니다.
태그 Google BGP leak  CPU Meltdown  Adobe ColdFusion Vul