미국식품의약청(FDA)은 여러가지 보안문제를 해결하기 위한 펌웨어 업데이트하기 위해 450,000개의 맥박조정기를 리콜한다고 발표했다. 

이번 리콜은 이전에 St. Jude Medical으로 알려진 Abbott가 제조한 맥박 조정기의 여러 모델에 적용된다. 

환자는 이 장비가 백업 모드인 동안 업데이트를 설치될 수 있는 의사의 사무실을 방문해야 한다. 이 결함을 공격하면 취약한 장비에 비인가 접속을 할 수 있으며, 

맥박 조정기의 설정 및 기능을 수정하는 명령을 실행할 수 있다.

http://www.bleepingcomputer.com/news/security/welcome-to-2017-pacemaker-patients-told-to-visit-doctors-to-receive-security-patches/

http://www.scmagazine.com/abbott-laboratories-securing-vulnerable-pacemakers-with-firmware-and-software-updates/article/685215/

http://www.zdnet.com/article/fda-forces-st-jude-pacemaker-recall-to-patch-security-vulnerabilities/

http://arstechnica.com/information-technology/2017/08/465k-patients-need-a-firmware-update-to-prevent-serious-pacemaker-hacks/

http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm

http://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

Summary

Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads

Who should read this

All Struts 2 developers and users

Impact of vulnerability

A RCE attack is possible when using the Struts REST plugin with XStream handler to deserialise XML requests

Maximum security rating

Critical

Recommendation

Upgrade to Struts 2.5.13 or Struts 2.3.34

Affected Software

Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12

Reporter

Man Yue Mo <mmo at semmle dot com> (lgtm.com / Semmle). More information on the lgtm.com blog: https://lgtm.com/blog

CVE Identifier

CVE-2017-9805

Problem

The REST Plugin is using a XStreamHandler with an instance of XStream for deserialization without any type filtering and this can lead to Remote Code Execution when deserializing XML payloads.

Solution

Upgrade to Apache Struts version 2.5.13 or 2.3.34.

Backward compatibility

It is possible that some REST actions stop working because of applied default restrictions on available classes. In such case please investigate the new interfaces that was introduced to allow define class restrictions per action, those interfaces are:

  • org.apache.struts2.rest.handler.AllowedClasses
  • org.apache.struts2.rest.handler.AllowedClassNames
  • org.apache.struts2.rest.handler.XStreamPermissionProvider

Workaround

The best option is to remove the Struts REST plugin when not used. Alternatively you can only upgrade the plugin by dropping in all the required JARs (plugin plus all dependencies).  Another options is to limit th plugin to server normal pages and JSONs only:

<constant name="struts.action.extension" value="xhtml,,json" />

 

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

공격자는 Android TrustZone 기술의 구성 요소를 취약점이 있는 이전 버전으로 다운그레이드 할 수 있으며 최신 운영 체제를 실행하는 스마트 폰에 대한 공격을 시도할 수 있다. 

Florida State University와 Baidu X-Lab의 팀에 따르면 이 문제는 Android 기기의 ARM TrustZone 기술 설계에 있다. ARM TrustZone 기술은 Android 스마트 폰에 포함된 메인 

프로세서의 안전한 영역을 나타내는 SoC이다. 이것은 안드로이드 OS와는 별도로 작동하는 자체 운영체제인 TrustZone OS를 실행하는 안드로이드 커널의 특별한 부분인 것으로 알려졌다.

 연구원들은 "이 문제는 트러스 릿(트러스트 된 애플리케이션)이 버전 롤백 방지 기능이 없고 서로 다른 펌웨어 버전에 대해 동일한 키를 사용한다는 사실 때문에 발생한다."고 밝혔다. 

즉, 공격자는 TrustZone OS가 스위치를 알아 차리지 않고도 동일한 이전 버전으로 새 트레이드 렛을 교체할 수 있다. 이는 암호화 키가 동일하기 때문이다.

 연구팀은 Samsung Galaxy S7, Huawei Mate 9, Google Nexus 5 및 Google Nexus 6와 같은 ARM TrustZone 기술을 실행하는 장치에 대한 테스트에서 공격을 입증했다

. 이에 대해 현재 영향을 받는 모바일 벤더사에 이 취약점을 보고했으며, 최신 업데이트에 패치를 포함하고 새로운 디바이스 버전에 대한 수정을 진행하였다. 

따라서 사용자들은 최신 버전으로 패치할 것을 권고하고 있다.

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

보안 연구원은 Apache Struts 웹 응용 프로그램 프레임 워크에서 중요한 원격 코드 실행 취약점을 발견했다. 

해당 취약점은 원격 공격자가 영향 받는 서버에서 악성 코드를 실행할 수 있게 한다. 

Apache Struts는 REST, AJAX 및 JSON을 지원하는 Java 프로그래밍 언어로 웹 응용 프로그램을 개발하기 위한 

무료 오픈 소스 MVC (Model-View-Controller) 프레임 워크이다. 

이 취약점(CVE-2017-9805)은 Struts가 신뢰할 수 없는 출처의 데이터를 처리하는 방식으로 인해 발생한다. 

특히, Struts REST 플러그인은 XML 페이로드를 직렬화 해제하는 동안 

XML 페이로드를 처리하지 못하는 것으로 보인다. 현재 Apache Struts의 모든 버전 (Struts 2.5에서 Struts 2.5.12까지)

이 영향을 받고, 프레임 워크의 REST 플러그인을 사용하는 

모든 웹 응용 프로그램이 취약하다. 이 취약성 및 개념 증명에 대한 자세한 기술 정보는 아직 발표되지 않았다.

[http://thehackernews.com/2017/09/apache-struts-vulnerability.html]
[http://www.freebuf.com/vuls/146718.html]
[https://threatpost.com/patch-released-for-critical-apache-struts-bug/127809/]

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

전문가들은 mRAT 위협에 연계된 xRAT라는 새로운 정교한 멀웨어를 발견했다. xRAT라는 새로운 모바일 원격 액세스 트로이 목마는 홍콩 시위자를 대상으로한 

감시 공격에 사용된 유명한 스파이웨어 Xsser / mRAT 멀웨어의 변종이다. xRAT는 mRAT와 많은 유사점을 가지고 있으며, 동일한 암호 해독 키를 사용한다. 

전문가들은 코드 분석을 통해 두 맬웨어 모두 동일한 명명 규칙을 사용하고 있고 동일한 해커에 의해 개발되었음을 발견했다. 

xRAT 모바일 트로이 목마는 탐지 그룹을 포함하여 정치 그룹을 대상으로 개발된 것으로 보이며, WeChat 및 QQ와 같은 인스턴트 메시징 응용 프로그램에서 

데이터를 수집하는 기능을 포함하여 일반적인 스파이 기능을 구현한다. xRAT는 SDCard의 특정 디렉토리의 이미지 및 데이터를 제거하는 등 다양한 삭제 작업을 원격으로 수행 할 수 있다

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바