□ 개요
 o Cisco社는 자사의 제품에 영향을 주는 취약점을 해결한 보안 업데이트를 발표
 o 공격자는 해당 취약점을 악용하여 원격 코드 실행 및 서비스 거부 등의 피해를 발생시킬 수 있으므로, 최신 버전으로
    업데이트 권고

□ 내용
 o Apache Struts REST 플러그인에서 XML 페이로드를 처리할 때 발생하는 원격 코드 실행 취약점(CVE-2017-9805) [1]
 o Apache Struts REST 플러그인에서 입력 값 검증 미흡으로 발생하는 서비스 거부 취약점(CVE-2017-9793) [1]
 o Apache Struts URLValidator 기능 사용 시 URL 유효성 검증 미흡으로 발생하는 서비스 거부 취약점(CVE-2017-9804) [1]
 o Cisco IOS 및 Cisco IOS XE 소프트웨어 UDP 패킷 처리 시 발생하는 서비스 거부 취약점(CVE-2017-6627) [2]
 o Cisco IoT-FND(IoT Field Network Director) 메모리 고갈로 발생하는 서비스 거부 취약점(CVE-2017-6780) [3]
 o Cisco Unified Communications Manager에서 부적절한 TLS 트래픽 처리로 발생하는 서비스 거부 취약점(CVE-2017-6791) [4]
 o Cisco Yes 셋톱 박스에서 발생하는 서비스 거부 취약점(CVE-2017-6631) [5]
 o Cisco SocialMiner에서 XML External Entities의 부적적할 처리로 시스템 정보를 읽고 쓸 수 있는 취약점(CVE-2017-12216) [6]
 o Cisco IOS 및 Cisco IOS XE 소프트웨어의 IPv6 SNMP에서 메시지 처리 시 발생하는 서비스 거부 취약점(CVE-2017-12211) [7]
 o Cisco Prime LAN 관리 솔루션에서 발생하는 세션 고정 취약점(CVE-2017-12225) [8]
 o Cisco Prime Collaboration Provisioning Tool의 인벤토리 관리 기능 정보 유출 취약점(CVE-2017-6793) [9]
 o Cisco Prime Collaboration Provisioning Tool 시스템에서 발생하는 파일 Overwrite 취약점(CVE-2017-6792) [10]
 o Cisco IR800 통합 서비스 라우터의 ROM 모니터에서 발생하는 입력 유효성 검사 취약점(CVE-2017-12223) [11]
 o Cisco Firepower Management Center의 웹 프레임워크에서 발생하는 XSS 취약점(CVE-2017-12221) [12]
 o Cisco Firepower Management Center의 웹 인터페이스에서 발생하는 XSS 취약점(CVE-2017-12220) [13]
 o Cisco Email Security Appliance에서 악성 EML 첨부 파일을 우회 가능한 취약점(CVE-2017-12218) [14]
 o Cisco Unified Intelligence Center의 웹 인터페이스에서 발생하는 XSS 취약점(CVE-2017-6789) [15]
 o Cisco Unity Connection의 웹 프레임워크에서 발생하는 Reflected XSS 취약점(CVE-2017-12212) [16]
 o Cisco Meeting Server의 하이퍼링크 정보 유출 취약점(CVE-2017-12224) [17]
 o Cisco Emergency Responder에서 발생하는 Blind SQL Injection 취약점(CVE-2017-12227) [18]
 o Cisco Catalyst 4000 시리즈 스위치에서 발생하는 동적 ACL 우회 취약점(CVE-2017-12213) [19]
 o Cisco ASR 920 시리즈 라우터의 Cisco IOS XE 소프트웨어에서 입력 값 검증 미흡으로 발생하는 임의 파일 Overwrite 취약점
    (CVE-2017-6795) [20]
 o Cisco ASR 920 시리즈 라우터의 Cisco IOS XE 소프트웨어에서 입력 값 검증 미흡으로 발생하는 임의 코드 실행 취약점
    (CVE-2017-6796) [21]
 o Cisco ASR 5500 System Architecture Evolution(SAE) 게이트웨이의 GPRS 터널링 프로토콜에서 패킷 헤더 값 검증 미흡으로
    발생하는 서비스 거부 취약점(CVE-2017-12217) [22]

 o Apache Struts2 FreeMarker 태그의 잘못된 구성으로 요청 값에 원격 코드를 삽입하여 실행이 가능한 취약점

   (CVE-2017-12611)[23]

 o Cisco Mobility Express 소프트웨어를 사용하는 Cisco Aironet 1830 및 1850 시리즈에 접근할 때 기본 자격 증명이 미흡한

    취약점(CVE-2017-3834) [24]


□ 영향을 받는 제품 및 버전
 o 참고사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 제품 확인

□ 해결 방안
 o 취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco장비의 운영자는 해당사이트에 명시되어 있는 ‘Affected Products’ 내용을

    확인하여 패치 적용
  

 
[참고사이트]
 [1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170907-struts2
 [2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-ios-udp
 [3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-fnd
 [4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-ucm
 [5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-stb
 [6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-socmin
 [7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-snmp
 [8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-prime-lms
 [9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-pcpt1
 [10] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-pcpt
 [11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-isr
 [12] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-firepower-2
 [13] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-firepower-1
 [14] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-esa
 [15] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuic
 [16] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuc
 [17] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cms
 [18] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cer
 [19] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cat
 [20] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-asr920-2
 [21] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-asr920-1
 [22] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-asr

 [23] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170909-struts2-rce

 [24] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ame


저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

2011~2014년 Dragonfly라 불리는 한 해킹 그룹이 에너지 시설을 다루는 곳을 겨냥하고 있는 것으로 조사되고 있다. 

이 그룹은 2011년 활동을 시작해 Symantec에 의해 해킹공격이 노출된 뒤 잠잠해졌었으나, 현재 새로운 캠페인으로 활동을 하고 있는 것으로 확인되었다. 

이 그룹은 어떻게 에너지 부서가 시설을 작동,관리하는지 그리고 어떻게 작동시스템에 접근하는 지 등에 관심이 있는것으로 보이며 이를 이용하여 공격을 할 것으로 예상되고 있다. 

이 그룹의 공격에 맞서고 있는 Symantec은 Dragonfly 2.0 캠페인에 대한 증거를 포착하였으며 이 캠페인은 2015년부터 현재까지 활동이 증가하고 있는것을 알아내 고객들로부터 보호하도록 노력하고 있다.

[https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group]

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

the National Institute of Science and Technology (NIST)의 The National Cybersecurity Center of Excellence (NCCoE)은 

여러 벤더사들과 기업들과 함께 랜섬웨어 공격에 대한 복구 가이드라인을 개발했다. 해당 연구원들은 이 가이드라인의 목적은 조직 데이터 복구를 돕는 것과 

취약성 공격이 발생했을 시 복구를 부드럽게 진행할 수 있도록 하는것에 목표를 두고 있다고 말하고 있다.

 이들은 "조직 기업들은 데이터 공격으로부터 가능한 빠르게 복구해야하며 데이터가 복구되었을 때는 해당 데이터가 정확하게 복구되었는지, 

멀웨어로부터 더이상 영향을 받지 않는 지 등의 신뢰성이 구축되어야 한다" 고 말하고 있다. 해당 가이드라인은 크게 3가지 판으로 나누어져 있고 각 판은  

business decision makers,  technology and program managers, IT professionals 이다. 해당 가이드라인은 https://nccoe.nist.gov/publication/1800-11/index.html에서 확인가능

[https://www.scmagazine.com/feds-release-guided-on-mitigating-ransomware-threats/article/687317/]


저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


스마트폰에 Siri와 Google과 같이 사람의 음성을 인식해 작동을 지원해주는 시스템이 고주파음성을 사용하여 악용될 수 있는 취약점이 발견되었다. 

중국 Zhejiang 대학교의 보안 연구원들은 인간의 음성인식 취약점을 이용한 인식 시스템의 작동방식을 영리한 방식으로 발견했다. DolphinAttack이라 불리는 

이 공격은 인간이 20kHZ이상의 고주파 음성을 인식하지 못한다는 점을 이용해 명령을 전달하는 음성을 고주파 음성으로 변환한뒤 사용자가 모르게 특정 명령

(조작된 웹사이트 방문, 특정 전화번호 다이얼 등)을 실행시킬 수 있다. 이 대학팀은 이 취약점을 발견 한 뒤 방지하기 위해 휴대폰 제조사에 연락하여 

단순히 20kHz이상의 인간이 인식할 수 없는 고주파 음성을 기계장치 또한 인식하지 못하도록 요청하였으며, 사용자는 이것이 패치될 때 까지 잠시 음성 도움 서비스 설정을 꺼놓도록 권유하고 있다

http://[http://thehackernews.com/2017/09/ai-digital-voice-assistants.html

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

위드이노베이션의 유출 정보 현황

구 분

유 출 항 목

건수

중복제거

이용자

정보

숙박

예약

정보

(구분), 제휴점명, 객실명, 예약일시, 약자, 회원번호, 휴대전화번호, 결제방법, 결제금액, 원금액, 입금가, 예약현황, ·퇴실(가능)시간 등

3,239,210

910,705*

회원

정보

회원번호, 회원ID(메일주소), 이름(또는 닉네임), 가입일자, 가입수단, 회원등급, 가입환경(OS정보)

178,625

78,716**

소 계

-

3,417,835

971,877***

사업자(제휴점)

정보****

체번호, 업체명, 은행명, 계좌번호, 예금주, 연락처(휴대전화번호), 생년월일(사업자번), 영업담당자, 회원등록상태, 등록일

1,163

1,163

합 계

-

3,418,998

973,040

* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거

** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수

*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외

**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석

()위드이노베이션의 위반사항(요약)

위 반 내 용

관련 규정

시정조치

개인정보 보호조치 (접근통제)

§282

시정명령

 

과징금

3

100만원

 

과태료

1,500만원

- 개인정보처리시스템 접근권한 최소부여 원칙 위반

 

고객센터 상담직원 35명에게 개인정보처리시스템 파일다운로드 권한 부여

(상담사 ○○ 권한을 해커가 도용)

시행령§151

고시 §4

- 취급자 인사이동 시 지체없이 개인정보처리시스템 접근권한 변경하여야 하나 이를 위반

 

’17.3.3. 조직개편에 다른 인사이동(195명 전보) 3.20.까지 관리자페이지의 접근권한 미변경, 사고 인지(3.21.) 후인 3.24. 일괄 변경

(이중 직원 김○○의 최고관리자 권한을 해커가 도용)

시행령§151

고시 §4

- 취급자가 외부에서 정보통신망을 통해 개인정보처리시스템 접속 시 안전한 인증수단 미적용

시행령§151

고시 §4

- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀

 

OS에서 제공하는 기본방화벽(iptable) 및 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템 미설치

 

부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석 미실시

시행령§152

고시 §4

- 개인정보 다운로드·파기 가능한 취급자의 컴퓨터 망분리 미적용

 

매출액 100억원 이상, 저장·관리하는 이용자수 100만명 이상에 해당

시행령§153

고시 §4

- 페이지 취약점

 

SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩 미수행

마케팅센터 웹페이지 취약점 점검 미수행 (해당 웹페이지 해커 공격)

시행령§155

고시 §4

개인정보 보호조치 (접속기록)

§283

- 개인정보취급자의 접속기록 보관(6개월), 정기정검(1회 이상) 의무 위반

시행령§15

고시 §5①④

개인정보 보호조치 (암호화)

§284

- 관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장

시행령§151

고시 §6

- 직원 개인용PC에 이용자개인정보(20,462) 미암호화 저장

시행령§154

고시 §6

개인정보의 파기 (유효기간제)

§29

시정명령

 

과태료

1,000만원

- 1년간 서비스를 미이용한 이용자의 개인정보(1,101,528)를 파기하거나 다른 이용자의 정보와 분리하여 별도 저장·관리하지 않음

시행령§16



저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바