DURUAN

닫기
제품/견적문의

제품/견적문의

TOP

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2019년 2월 3주 동향 보도일|2019.02.25 조회수|2559

The Hackers News 발췌 분

 

Flaws in PRunC Flaw Lets Attackers Escape Linux Containers to Gain Root on Hosts(2019-02-12)

l  심각한 보안 취약점 CVE-2019-5736으로 인해 오픈 소스 컨테이너 관리 시스템에 영향을 미치는 핵심 runC 컨테이너 코드에서 공격자가 Linux 컨테이너를 벗어나 호스트 운영체제에 대한 권한 없는 루트 수준의 액세스 권한을 얻을 수 있습니다.

l  특수하게 조작된 악의적인 컨테이너나 컨테이너 루트 액세스 권한을 가진 공격자는 컨테이너를 실행하는 호스트 머신에 대한 관리 권한을 얻기 위해 결함을 이용할 수 있으며, 결국 컨테이너에서 실행되는 수백, 수천 개의 다른 컨테이너를 손상시킬 수 있습니다. 공격자는 컨테이너에 대한 루트 접근을 위해 공격자가 제어하는 이미지를 사용하여 새 컨테이너를 생성하거나 공격자가 이전에  쓰기 권한으로 접속했었던 기존 컨테이너를 attach(docker exec) 해야 합니다.

l  Red Hat에 따르면 SELinux enforce 모드로 동작하는 경우 취약점이 완화될 수 있고 Red Hat Enterprise Linux, CentOS Fedora는 기본적으로 enforce 모드로 동작합니다. 이미 주요 공급 업체 및 클라우드 서비스 제공 업체에서는 보안 패치를 추진하고 있으며, Rancher Docker의 레거시 버전에 대한 패치 스크립트도 게시했습니다. 새로운 컨테이너를 사용하는 경우에는 패치된 runC가 포함된 이미지로 업그레이드하는 것을 권장합니다.

l  뉴스보기

 

WARNING ? New Phishing Attack That Even Most Vigilant Users Could Fall For(2019-02-15)

l  비밀번호 관리 소프트웨어 회사인 Myki CEO Antoine Vincent Jebara는 사이버 범죄자들이 방문자들에게 독점 기사를 읽거나 할인된 제품을 구입하기 위해 "Facebook 계정을 사용하여 로그인"하도록 하는 블로그 및 서비스 링크를 배포하고 있다는 것을 발견했습니다.

l  악성블로그와 온라인 서비스가 다른 피싱 사이트와 마찬가지로 가짜 Facebook 로그인 프롬프트로 이용자들에게 서비스를 제공하고 있다는 것을 발견했습니다. HTML JavaScript-x로 만들어진 가짜 팝업 로그인 프롬프트는 유효한 HTTPS를 나타내는 녹색 잠금 패드가 있는 Facebook 웹사이트로의 상태 표시줄, 네비게이션 바, 그림자 및 URL과 같은 합법적인 브라우저 창처럼 보이게 복제했습니다.

l  이런 유형의 피싱 공격으로부터 자신을 보호할 수 있는 유일한 방법은 현재 표시된 창에서 프롬프트를 끌어내는 것입니다. 드래그-아웃이 실패하면(팝업의 일부가 창 가장자리 너머로 사라짐) 팝업이 가짜라는 징후입니다. 가능한 모든 서비스는 2단계 인증을 사용하여 해커들이 당신의 온라인 계정에 접근할 수 없도록 하는 것을 권장합니다.

l  뉴스보기

 

How to Hack Facebook Accounts? Just Ask Your Targets to Open a Link(2019-02-18)

l  특수하게 조작된 URL을 클릭하는 것만으로도 공격자는 어떠한 상호 작용 없이 당신의 Facebook 계정을 해킹할 수 있습니다. 한 보안 연구원이 가장 인기 있는 소셜 미디어 플랫폼에서 공격 대상 사용자를 속여서 링크를 클릭하는 것만으로 Facebook 계정을 해킹할 수 있는 CSRF(Critical Cross-Site Request forgery) 취약성을 발견했습니다.

l  이 방식은 취약한 엔드포인트로 인해 발생하며, 공격자가 선택한 다른 Facebook 엔드포인트를 매개 변수와 함께 사용하며 fb_dtsg(facebook cahce token) 매개 변수를 추가한 후 해당 엔드 포인트에 POST 요청을 하면 됩니다 공격자는 특수하게 조작된 Facebook URL을 클릭하도록 피해자들을 속이는 것 만으로도 타임라인에 모든 것을 게시하거나 프로필 사진을 변경,삭제하고, 심지어 사용자들을 속여 Facebook 계정 전체를 삭제하도록 할 수 있습니다.

l  Facebook 계정에 대해 2단계 인증을 사용함으로써 해커들이 사용자 모바일 기기로 전송된 6자리 암호를 확인할 때까지 사용자 계정에 로그인하는 것을 방지한다면 이러한 계정 테이크오버 공격은 완화될 수 있습니다.

l  뉴스보기

 

Another Critical Flaw in Drupal Discovered ? Update Your Site ASAP!(2019-02-21)

l  Drupal 개발자는 원격 공격자가 사이트를 해킹 할 수 있는 치명적인 취약점을 패치하기 위해 최신 버전의 소프트웨어를 출시했습니다. 이 취약점은 Drupal Core의 중요한 원격 코드 실행 (RCE) 결함으로, 일부 경우에는 임의의 PHP 코드가 실행될 수 있습니다.

l  취약성(CVE-2019-6340)에 대한 기술적 세부사항을 발표하지 않았지만, 일부 필드 유형은 비형식 출처의 데이터를 제대로 정리하지 못하고 Drupal 7, 8 코어에 영향을 미치기 때문에 결함이 존재한다고 언급했습니다. 또한 Drupal 기반 웹 사이트는 RESTful Web Services(rest) 모듈이 활성화되어 PATCH 또는 POST 요청을 허용하거나 다른 웹 서비스 모듈이 활성화된 경우에만 영향을 받는다는 점에 유의해야 합니다. 최신 업데이트를 즉시 설치할 수 없는 경우에는 모든 웹 서비스 모듈을 비활성화하거나 웹 서버가 웹 서비스 리소스에 PUT/PATCH/POST 요청을 허용하지 않도록 구성하여 취약성을 완화해야 합니다.

l  Drupal Drupal 7 Services 모듈 자체는 현재 업데이트가 필요하지 않지만, 사용자들은 "Services"가 사용 중일 경우 최신 권고와 관련된 다른 업데이트를 적용하는 것을 권장합니다.

l  뉴스보기


KISA 보안공지

 

리눅스 snapd 취약점(dirty sock) 보안 업데이트 권고(2019-02-18)

WordPress 원격코드 실행 보안 업데이트 권고(2019-02-21)

Cisco 제품군 취약점 보안 업데이트 권고(2019-02-21)

Adobe Acrobat 보안 업데이트 권고(2019-02-22)

 


기타 동향

 

리눅스의 Snapd 패키지에서 권한 상승 취약점 발견(2019-02-14)

l  각종 리눅스 시스템에서 사용되고 있는 Snapd 패키지에서 취약점 발견됨.

l  이는 소켓에서 발생하는 문제로, 악용할 경우 권한 상승 공격을 할 수 있게 됨.

l  Snapd 2.37.1이 해결된 버전. 민트, 데비안, 페도라, 우분투 관리자라면 확인해볼 필요 있음.

l  뉴스보기

 

세계적인 인기 누리는 압축 툴 ‘윈라’에서 심각한 취약점 발견(2019-02-22)

l  압축 툴 윈라에 퍼징 테스트를 실시했더니 심각한 취약점들 다수 나옴.

l  그 중 하나는 ACE 파일 통해 임의의 코드를 실행할 수 있게 해주는 것.

l  윈라 개발사는 문제가 된 라이브러리의 소스코드 찾을 수 없어 아예 호환되지 않도록 조치를 취함.

l  뉴스보기

 

요즘 공격자의 ‘Living off the Land’ 전략 사례, 세파(2019-02-22)

l  새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.

l  PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.

l  공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.

l  뉴스보기