안드로이드 스마트폰 사용자 서울고속버스 접속 금지


[보안뉴스 김지언] 서울고속버스터미널(http://www.exterminal.co.kr/) 홈페이지에서 안드로이드 스마트폰 사용자를 대상으로 한 악성코드가 또다시 유포되고 있어 사용자들의 주의가 필요하다.



만약 안드로이드 휴대폰 사용자가 해당 홈페이지에 접속한다면 ‘Google 필요한 업데이트를.’이라는 메시지가 뜨고, 확인버튼을 클릭하면 ‘Google_4.3.5.APK’라는 파일이 다운로드 된다.


만약 사용자가 다운로드된 APK 파일을 클릭해 설치한다면 금융정보, 개인정보 등이 빠져나갈 수 있다. 이에 사용자들은 모바일에서 서울고속버스터미널 접속을 하지 말아야한다. 또 접속했다면 모바일 백신을 최신버전으로 업데이트한 후 정밀검사를 실시해야 한다.


해당 APK 파일은 처음 접속 시에만 다운로드 된다.

 

한편 서울고속버스터미널 홈페이지는 4월 25일에도 안드로이드 스마트폰 사용자들을 대상으로 한 악성코드를 유포한 적 있어 문제가 심각해지고 있다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

네이버로 홈페이지 접근 시 가짜 네이버 로그인 페이지 접근


[보안뉴스 김지언] 가짜 네이버 로그인 페이지를 만들어 네이버 아이디와 패스워드를 갈취하려는 정황이 포착됐다.



해킹보안팀 Pwn&Play Morison Herry 씨는 “대한화장품협회와 게임신문 홈페이지가 해킹됐다”며, “네이버에서 해당 홈페이지 링크를 클릭해 접속 시 네이버 로그인 페이지가 열리며 아이디와 패스워드를 입력하도록 유도했다”고 밝혔다.


그러나 이는 실제 네이버 로그인 페이지가 아닌 해커가 사용자들의 네이버 아이디와 비밀번호 갈취를 위해 제작한 페이지인 것으로 드러났다.


Pwn&Play(대표 장기려)는 분석 당시 아이디와 비밀번호를 입력해도 전송부분 내용이 삭제돼 실제 아이디와 패스워드가 유출되는 정황을 확보하진 못했으나 이전에 유출됐을 가능성이 높은 만큼 다른 홈페이지에서 네이버 로그인 페이지가 나온다면 절대 정보를 입력해서는 안된다고 당부했다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

한국세무사회 세무연수원 웹사이트, 디렉터리 리스팅 취약점 발견 
세무연수원 회원의 세무사자격증 누구나 열람 가능...현재 조치완료 


[보안뉴스 민세아] 세무사들의 권익 보호를 위해 세워진 단체인 한국세무사회가 정작 세무연수생들의 정보는 보호해주지 못하는 것으로 드러났다. 한국세무사회 세무연수원 웹사이트에서 ‘디렉터리 리스팅(Directory Listing)’ 취약점이 발견된 것. 


디렉터리 리스팅 취약점은 웹 서버의 디렉터리 및 파일 목록이 노출돼 열람 및 다운로드가 가능한 취약점이다. 가장 기본적인 취약점이지만 치명적인 보안위협을 야기할 수 있다. 

이번 취약점은 사이버보안전문단원(K-Shield)으로 활약 중인 한 보안전문가와 Morison Herry(닉네임) 씨가 본지에 제보하면서 알려졌다. 이들은 “우연히 한국세무사회 세무연수원 디렉터리 목록이 노출된 것을 확인했다”며 “노출된 디렉터리에서 각종 세무사 자격증과 증명사진, 이메일 등이 발견됐고, 2009년 이전 자격증에 대해서는 주민등록번호가 여과 없이 기재돼 있어 개인정보 유출 위험이 있다”고 덧붙였다.


디렉터리 리스팅은 관리자의 부주의로 발생하는 취약점으로, 잘못된 보안 설정으로 발생한다. 웹 서버 내에 존재하는 백업 및 스크립트 파일이 유출되면 복제 사이트가 생성되거나 계정정보가 유출될 위험도 존재한다. 이로 인해 다양한 정보가 공격자에게 제공됨으로서 2, 3차 피해가 발생할 수 있다. 

 한국세무사회 세무연수원 웹사이트의 디렉터리 목록이 그대로 노출돼 있다.


디렉터리 리스팅 취약점의 조치방안으로는 우선 인터넷 망 연결 서비스(IIS : Internet Interconnection Service)의 웹 서버에서 디렉터리 검색 메뉴가 체크돼 있을 경우 이를 해제시켜야 한다.


그리고 아파치 conf 폴더의 httpd.conf 파일 내 Options Indexes FollowSymLinks MultiViews 옵션을 Options FollowSymLinks MultiViews로 수정해야 한다.


추가적으로, 구글에서 검색되지 않도록 www.xxx.co.kr/robots.txt처럼 웹사이트 최상위에 robots.txt를 추가시키고, ‘User-agent:*Disallow:/’와 같은 내용을 기재해야 한다.

 

개인정보 유출사고가 끊임없이 발생하는 현 상황에서 이런 기본적인 부분부터 세심하게 관리해 사고를 미연에 방지해야 한다. ‘소 잃고 외양간 고치는’ 식의 대응이 아닌 사전예방 조치가 무엇보다 중요하다.  


한편 해당 웹사이트의 취약점은 본지가 한국세무사회 측에 전달했으며, 현재는 조치가 완료된 상태다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

지역 모 MBC, 디렉토리 리스팅 외 취약점 업데이트 필요


 국내 지상파 지역방송국 홈페이지와 지역방송국에서 운영하고 있는 여행사이트에서 보안취약점이 발견돼 언론사들의 허술한 보안관리가 다시금 도마 위에 오르고 있다.


2월 3일 본지에서 보도한 ‘언론사 홈피 게시판·블로그 보안취약점 주르르’와 관련해 국내 지상파 방송사 MBC 홈페이지 게시판에서 XSS 취약점이 발견된 데 이어 MBC 지역방송국에서도 보안취약점이 발견됐다.



이를 본지에 제보한 Herry morison 씨는 “우연히 여행사이트 접속했다가 MBC 투어클럽 사이트에서 디렉토리 리스팅 취약점을 발견하게 됐다”며, “대부분의 디렉토리 목록을 확인할 수 있고 웹 서버와 관련된 정보를 확인할 수 있어 빠른 개선이 필요하다”고 당부했다.


이어 herry 씨는 “디렉토리 리스팅이란 현재 브라우징 하는 디렉토리의 파일들을 사용자에게 보여주는 취약점”이라며, “인터넷 사용자에게 웹 서버 내 모든 디렉토리와 파일 목록을 보여줌과 동시에 파일을 열람하고 저장할 수 있다면 매우 위험하다”고 전했다.


본지에서 확인한 결과 MBC xx클럽 사이트는 지역MBC에서 운영하는 여행사이트로, 지역 MBC 홈페이지에서도 같은 문제가 발생하는 것을 확인할 수 있었다.


이들 사이트는 디렉토리 리스팅을 통해 사용하는 서버 버전 및 이름, 사용 OS, 사용 포트 외에도 홈페이지를 구축할 때 사용한 소프트웨어가 노출돼 위험한 상황이었다. 그러나 홈페이지 데이터베이스 관련 정보 파일, 서버사이드스크립트, 관리자 페이지 등과 같은 주요 정보들은 외부에서 확인하기 힘든 확장자명을 붙여두어 파일을 열람할 수는 없는 상태였다.



그러나 일부 페이지의 URL 주소를 조작해 잘못된 페이지나 없는 페이지로 접근했을 때, 에러메시지를 통해 관리자 페이지로 이동할 수 있는 링크를 보내주는 등 쉽게 관리자 페이지를 찾을 수 있는 문제가 발견됐다. 이에 본지는 해당사이트 담당자에게 이러한 내용을 전달하고 수정을 요청한 상태다.

※기사 내용을 악용하여 관리자 페이지에 불법적인 로그인 시도를 하는 등 상용망에 공격을 시도할 경우 법적 책임을 물을 수 있으니 주의하시기 바랍니다.


[디렉토리 리스팅 취약점 해결 TIP]   

디렉토리 리스팅 취약점은 크게 두 가지 방식으로 해결할 수 있으며 그 방법은 다음과 같다. 

▲디렉토리 리스팅 취약점 해결방법(좌측-윈도우, 우측-리눅스·유닉스)


사용하는 웹서버가 윈도우일 경우에는 제어판→관리도구→인터넷서비스관리자(인터넷 정보 서비스) 메뉴→ 인터넷 정보서비스→ 웹사이트→ 설정할 사이트로 들어간 후 마우스 우클릭→ 속성→ 등록정보→ 홈 디렉토리 탭 선택→ 디렉터리 검색(B)부분의 체크 해제→적용 순으로 진행하면 된다.


사용하는 웹서버가 리눅스·유닉스의 경우 환경설정 파일인 ‘httpd.conf' 파일을 찾아 파일내용 중 Options 항목 뒤에 Indexes라는 구문을 모두 지우고 파일을 저장한 후 웹서버 데몬을 재시작해준다.

신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바