CCleaner 유틸리티에 피기백한 악성코드가 최소 2백만 대의 컴퓨터를 감염시켰지만, 이 백도어는 데이터 유출을 목표로한 회사의 일부 시스템에만 접근하였다. 

공격자는 영국, 미국, 일본, 독일 및 대만의 대형 기술 및 통신회사의 시스템 접근에 관심이 있었다. 일부 연구원들은 CCleaner 악성코드 감염이 

중국과의 관계가 있는 APT 악성코드 그룹의 작품이라고 주장하지만 확실한 증거는 없다.


http://motherboard.vice.com/en_us/article/7xkxba/researchers-link-ccleaner-hack-to-cyberespionage-group

http://www.cyberscoop.com/ccleaner-avast-china-apt/

http://www.wired.com/story/ccleaner-malware-targeted-tech-firms/

http://www.theregister.co.uk/2017/09/21/ccleaner_secondary_payload_targeted_top_tech_companies/

http://www.zdnet.com/article/ccleaner-malware-operators-targeted-cisco-microsoft-samsung-and-more/

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


□ 개요

 o Cisco社는 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지

 o 공격자는 해당 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Cisco 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

 

□ 설명

 o Cisco IOS XE 소프트웨어 웹 인터페이스의 REST API에서 발생하는 인증 우회 취약점 (CVE-2017-12229) [1]

 o Cisco IOS XE 소프트웨어 웹 인터페이스에서 발생하는 권한 상승 취약점(CVE-2017-12230) [2]

 o Cisco IOS과 IOS XE 소프트웨어의 DHCP 관련 시스템에서 발생하는 원격 코드 실행 취약점(CVE-2017-12240) [3]

 o Cisco Mobility Express 1800 Access Point 시리즈에서 발생하는 인증 우회 취약점 (CVE-2017-3831) [4]

 o Cisco Catalyst 6800 시리즈의 IOS 소프트웨어 내 Virtual Private LAN Service(VPLS)에서 발생하는 서비스 거부 취약점

    (CVE-2017-12238) [5]

 o Cisco Integrated Service Routers Generation 2(ISR G2)의 프로토콜 실행 중에 발생하는 서비스 거부 취약점

   (CVE-2017-12232) [6]

 o Cisco IOS 소프트웨어의 PROFINET Discovery and Configuration Protocol(PN-DCP)에서 발생하는 서비스 거부

    취약점(CVE-2017-12235) [7]

 o Cisco IOS 및 IOS 소프트웨어의 Plug and Play 애플리케이션에서 발생하는 인증서 검증 미흡 취약점(CVE-2017-12228) [8]

 o Cisco IOS XE 소프트웨어 무선 컨트롤러의 웹 인터페이스에서 발생하는 권한 상승 취약점(CVE-2017-12226) [9]

    ※ 영향을 받는 기기 : Cisco 5760 무선 LAN 컨트로러, Cisco Catalyst 4500E Supervisor Engine 8-E(무선) 스위치,

        Cisco New Generation Wireless Controllers(NGWC) 3850

 o Cisco IOS 소프트웨어의 NAT(Network Address Translation) 기능을 수행하는 과정에서 발생할 수 있는 서비스 거부 취약점

   (CVE-2017-12231) [10]

 o Cisco IOS XE 소프트웨어의 Locator/ID Separation Protocol(LISP)에서 발생하는 인증 우회 취약점

   (CVE-2017-12236) [11]

 o Cisco IOS XE 소프트웨어의 무선 컨트롤러를 관리하는 과정에서 발생하는 서비스 거부 취약점(CVE-2017-12222) [12]

 o Cisco IOS 및 IOS XE 소프트웨어의 Internet Key Exchange Version 2(IKEv2)에서 발생하는 서비스 거부 취약점

    (CVE-2017-12237) [13]

 o Cisco IOS 소프트웨어의 Common Industrial Protocol(CIP)이 요청을 보낼 때 발생하는 서비스 거부 취약점

    (CVE-2017-12233, 12234) [14]

 o Cisco ASR 1000 시리즈 및 cBR-8 Routers에서 사용하는 Cisco IOS XE 소프트웨어의 라인 카드 콘솔 접근 취약점

    (CVE-2017-12239) [15]

 

□ 영향을 받는 제품 및 버전

 o 참고사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 제품 확인

 

□ 해결 방안

 o 취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco장비의 운영자는 해당사이트에 명시되어 있는 ‘Affected Products’ 내용을

    확인하여 패치 적용

 



[참고사이트]

 [1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-restapi

 [2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-privesc

 [3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-dhcp

 [4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-ap1800

 [5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-vpls

 [6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-rbip-dos

 [7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-profinet

 [8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-pnp

 [9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc

 [10] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-nat

 [11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-lisp

 [12] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ios-xe

 [13] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ike

 [14] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cip

 [15] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cc

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


□ 개요

 o Apple社에서 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지

 o 공격자가 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Apple 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

 

□ 설명

 o macOS Server의 FreeRadius에서 발생하는 다수 취약점(CVE-2017-10978, CVE-2017-10979)

 o macOS High Sierra의 커널에서 발생하는 임의 코드 실행 취약점(CVE-2017-7114) 등 43개

 o Windows 7.0 iCloud의 SQLite에서 발생하는 메모리 손상 취약점(CVE-2017-7127) 등 22개

 

□ 영향을 받는 제품 및 버전

 o macOS Server

   - macOS Server 5.4 미만 버전 [1]

 o macOS High Sierra

   - macOS High Sierra 10.13 미만 버전 [2]

 o iCloud for Windows

   - iCloud for Windows 7.0 미만 버전 [3]


□ 해결 방안

 o MacOS Server, MacOS High Sierrak, Windows용 iCloud 사용자

   - 홈페이지 직접 설치 : http://support.apple.com/downloads/ 링크에서 해당 버전을 다운로드하여 업데이트 진행

   - 맥 앱스토어 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택

 



[참고사이트]

  [1] https://support.apple.com/en-us/HT208102

  [2] https://support.apple.com/en-us/HT208144

  [3] https://support.apple.com/en-us/HT208142

 

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

스웨덴 산업용 데이터 통신 업체인 웨스터모(Westermo)社는 자사 무선 3G/4G 라우터들의 잠재적인 취약점과 관련한 펌웨어 업데이트를 공개

 


  

주요내용

웨스터모社의 라우터들에서 3가지 취약점 발견

- 보안 업체 퀄리스(Qualys)社의 연구 결과

- 취약점은 산업용 라우터 MRD-305-DIN, MRD-315, MRD-355, MRD-455 대상

- 전 세계의 상업용 시설, 중요 장비들에 접근하는데 사용될 수 있는 3가지 취약점을 발견

 

취약점 1) 하드코딩 된 SSH와 HTTPS 인증서와, 그와 관련한 개인키를 발견

- 인증서와 개인키 정보들은 중간자공격(man-in-the-middle attack)에 사용되어 트래픽을 복호화에 악용 가능

- 트래픽을 복호화해 얻어낸 정보를 바탕으로 관리자 권한을 획득하거나, 장비 접근을 가능케 하는 권한 상승에 사용 가능

- 해당 취약점은 CVE-2017-5816로 등록, 美 ICS-CERT 치명적(critical) 등급 분류

- 작년, ICS-CERT는 다수의 산업용 스위치들에서 비슷한 SSL 개인키들이 사용되고 있으며 이는 중간자공격에 의해 통신이 복호화 당할 수 있다는 점 발표

 

취약점 2) 하드코딩 된 계정 user / 비밀번호 user 계정을 발견

- 해당 계정은 제한된 권한을 갖고 있기는 하지만 공격자는 계정을 통해 일부 장비에 접근이 가능

- 해당 취약점은 CVE-2017-12709로 등록

 

취약점 3) 관리자 웹페이지에서 크로스 사이트 요청 변조 보안조치 미비

- 크로스 사이트 요청 변조 취약점(cross-site request forgery)은 공격자가 권한 있는 사용자와 똑같은 권한으로 명령어를 사용하여 장치를 조작 가능

- 퀄리스는 크로스 사이트 요청 변조 취약점이 시스템의 전원을 끄거나, 리부팅 시키는 간단한 컨셉트 시현(proof-of-concept)-

- 1.7.7.0 버전 이하의 펌웨어에서 유효

- 해당 취약점은 CVE-2017-12703로 등록

<그림1. 웨스터모(Westermo)社의무선 4G 라우터 MRD-455>
무선 4G 라우터 MRD-455
시사점
 
라우터등 통신기기 제조업체들은 하드코딩된 관리자 비밀번호/인증서등 사용을 지양해야 함
보안담당자들은 더불어 제조사의 취약점 공개를 주시하고 보안패치 적용


[출처]
1. Security Week, “Serious Flaws Found in Westermo Industrial Routers”, 2017. 09. 05.
http://www.securityweek.com/serious-flaws-found-westermo-industrial-routers
2. Westermo, Resource centre, Security advisories
http://www.westermo.com/solutions/cyber-security/resource-centre


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


개요

트렌드마이크로(TREDN MICRO)는 *한글의 **포스트스크립트 코드 실행 기능을 악용한 악성 첨부파일 해킹 공격 발견

* 한글 : 한글과컴퓨터에서 개발한 워드프로세서 프로그램

** 포스트스크립트(PostScript) : 디지털 인쇄에 주로 사용되는 프로그래밍 언어

 

주요내용

 

해킹공격은 구버전 한글이 밀봉형 포스트스크립트* 코드를 부적절하게 처리하는 취약점을 악용

* 밀봉형 포스트스크립트(Encapsulated PostScrip, EPS) : 포스트스크립트언어에서 사용되는 그래픽 파일 포맷

공격자는 악성 포스트스크립트를 포함한 한글 첨부파일을 이용하여 구 버전 한글을 사용하는 시스템에 악성파일을 저장



 해킹공격 세부 사항

 

악성 한글 첨부파일 중 일부는 “비트코인 정보”와 “사용인감계” 문서로 위장

                               <그림 1,2 악성 한글 첨부파일 샘플>
        

거래번호, 지갑주소, 상대방 지갑주소

사용인감계

이 공격은 PostScript는 파일 조작 기능을 이용하여 악성파일을 시작 폴더에 저장하고 사용자가 컴퓨터를 재부팅 할 때까지 기다림, 

일부 첨부파일의 동작과정은 다음과 같음

 

1. 시작 폴더에 Javascript 파일을 실행하는 MSHTA.exe 파일의 바로 가기를 생성

2. 시작 폴더에 바로 가기를 생성하고 %Temp% 디렉토리의 DLL 파일을 생성, 이후 바로 가기는 DLL 파일을 실행하기 위해 rundll32.exe를 호출

3. 시작 폴더에 실행 파일을 생성

<그림 3. 한글 파일 내 악성코드 샘플>
한글 파일 내 악성코드 샘플


해결방법

 

최신 버전의 한글(2014)은 밀봉형 포스트스크립트의 처리를 올바르게 구현하여 해당 취약점이 존재하지 않으므로 2014이전 버전 이용자는 2014로 업그레이드 필요

 



[출처]

1. http://blog.trendmicro.com/trendlabs-security-intelligence/hangul-word-processor-postscript-abused-malicious-attachments/

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바