The Hacker News 발췌문
New Actively Exploited Zero-Day Vulnerability Discovered in Apple Products (2022-12-14)
 

50. 화요일 Apple은 악성 코드를 실행할 수 있는 새로운 제로데이 취약점을 해결하기 위해 iOS, iPadOS, macOS, tvOS 및 Safari 웹 브라우저에 대한 보안 업데이트를 발표했습니다.
50. CVE-2022-42856으로 추적된 이 문제는 특별히 제작된 콘텐츠를 처리할 때 트리거될 수 있는 WebKit 브라우저 엔진의 유형 혼동 문제로 설명되어 임의 코드 실행으로 이어집니다.
50. 이 회사는 "이 문제가 iOS 15.1 이전에 출시된 iOS 버전에 대해 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다."라고 밝혔습니다.
50. 뉴스보기

Fortinet Warns of Active Exploitation of New SSL-VPN Pre-auth RCE Vulnerability (2022-12-13)

50. Fortinet은 월요일 FortiOS SSL-VPN 제품에 영향을 미치는 심각한 보안 결함에 대한 긴급 패치를 발표했습니다.
50. CVE-2022-42475(CVSS 점수: 9.3)로 추적되는 치명적인 버그는 인증되지 않은 공격자가 특수 제작된 요청을 통해 임의의 코드를 실행할 수 있는 힙 기반 버퍼 오버플로 취약점과 관련이 있습니다.
50. 이 회사는 "이 취약점이 실제로 악용된 사례를 알고 있다"며 고객이 업데이트를 적용하기 위해 신속하게 움직일 것을 촉구했습니다.
50. 뉴스보기

CISA Alert: Veeam Backup and Replication Vulnerabilities Being Exploited in Attacks (2022-12-16)

50. 미국 CISA(Cybersecurity and Infrastructure Security Agency)는 Veeam Backup & Replication 소프트웨어에 영향을 미치는 2개의 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 추가하여 활발하게 악용되고 있다는 증거를 인용했습니다.
50. CVE-2022-26500 및 CVE-2022-26501로 추적되는 현재 패치된 치명적인 결함은 모두 CVSS 점수 시스템에서 9.8로 평가되었으며 대상 시스템을 제어하는 ​​데 활용될 수 있습니다.
50. Veeam은 2022년 3월에 게시된 권고에서 "Veeam 배포 서비스(기본적으로 TCP 9380)는 인증되지 않은 사용자가 내부 API 기능에 액세스할 수 있도록 허용합니다."라고 언급했습니다. 악성코드."
50. 뉴스보기

50. 북한 IT 조직원, 글로벌 구인구직 사이트에서 위장 취업 및 외화벌이 활동 포착
50. ‘리’씨 성의 1993년생 김책공대 출신 북한 IT 엔지니어, 15명 개발자 보유 및 6년 이상 경력 홍보
50. 악성코드 및 악성 앱 판매 서비스 등으로 발전...치명적 보안위협 초래할 수 있어
50. 뉴스보기

50. 악성코드 기반 공격 강화, 악성코드 삽입해 공급망 공격으로 정교하게 진화
50. 피싱, 단순 피싱 페이지 사용에서 벗어나 리버스 프록시 기술 적용 등 2차 인증 우회로 발전
50. OSINT·다크웹·해킹포럼 등 사이버 범죄 시장, 새로운 공격 통로 및 유형으로 부상
50. 방화벽·VPN·메일서버 등, 인터넷 접점 솔루션 취약점 증가 및 제로데이 취약점 우려
50. 뉴스보기

50. API가 활발히 사용되고 있지만, API 보안 인식은 상당히 뒤쳐져 있음.
50. API도 보호해야 할 요소라는 것을 명확히 인지하고 앱/서비스/사이트 개발 단계 처음부터 API 보안을 구축해야 함.
50. 특히 사용자가 입력하는 값을 있는 그대로 신뢰하지 않는 게 중요.
50. 뉴스보기