Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 24일] 주요 보안 이슈
작성일 2018-08-24 조회 838

1. [기사] Apache Struts 2 취약점 발견 : Equifax 버그보다 심각

[https://threatpost.com/apache-struts-2-flaw-uncovered-more-critical-than-equifax-bug/136850/] 

자바로 개발된 유명한 오픈 소스 프레임워크 Apache Struts2에 원격 코드 실행 취약점이 존재한다. 공격에 성공하면 전체 엔드포인트로 이끌어 네트워크 연결이 이루어진다. 이것은 작년 Equifax 에 쓰인 공격보다 위험하다고 말했다. 
아파치는 Struts2 코드 실행 취약점 (CVE-2018-11776) 을 패치했으므로 사용자들은 즉시 업데이트해야한다. 이 취약점은 Struts 프레임워크 중심부에서 익명의 사용자 데이터를 제대로 검증하지 않아 발생한다. 공격자는 HTTP요청에서 파라미터를 조작해 공격할 수 있다. 파라미터 값은 Struts 프레임워크에서 검증하지 않기 때문에 어떠한 OGNL 문자열도 가능하다. 두가지의 공격 시나리오가 존재한다. 방문자를 다른 URL로 리디렉션하는 시나리오와 <리소스> 태그 내에서 페이지 템플릿을 지원한다는 것을 이용하는 방법이다.  알려진 벡터 중 하나를 성공적으로 활용하려면 애플리케이션이 Struts 구성에서 allSelectFullNamespace 플래그를 항상 "true"로 설정해야 한다. 또한 애플리케이션의 작업은 네임스페이스를 지정하지 않거나 와일드카드 네임스페이스("/*")를 사용하여 구성해야 한다. 따라서 Struts 구성 요소를 업그레이드하여 취약성을 막고, 입력값을 검증하는 것 또한 중요하다고 말했다. 

 

 

2. [기사] 페이스북, 데이터 프라이버시 문제 해결 고군분투
[https://threatpost.com/recent-app-issues-reveal-facebooks-struggles-to-temper-data-privacy-woes/136838/]

페이스북이 소셜 미디어 플랫폼에서 앱을 금지하는 것과 애플 스토어에 고유의 앱을 출시하는 것 사이에서 정보 보호 문제를 해결하려고 노력하고 있다. 페이스북은 수요일에 두번의 공격으로 타격을 입었다. 첫번째는 플랫폼 앱 중 하나인 myPersonality가 부적절하게 4백만 사용자 정보를 연구진과 공유했다. 두번째는 자체 정보 보호 서비스인 Onavo Protect를 애플스토어에서 페이스북이 애플이 자사의 데이터 수집 정책을 위반했다고 하며 애플스토어에서 제외되었다. Onavo Protect는 사용자의 개인 정보를 암호화하고 데이터를 모니터링하는 모바일 VPN 앱으로, 고객이 모바일 데이터 사용을 관리하고 많은 양의 데이터를 사용하는 앱을 제한하는 데 도움을 준다. 하지만 이 앱은 애플의 개발자 계약에 위배되는 목적과 관련없는 데이터까지 수집하며 정보 수집을 제한하기 위해 발표한 새로운 규칙까지 위반했다. Ime Archibong의 페이스 북 담당 부사장은 myPersonality 앱을 금지하고 영향을 받은 약 4백만 명의 사용자에게 앱에서 수집한 정보를 오용한 사실을 알릴 것이라고 수요일 밝혔다. Avecto의 최고 운영 책임자는 사용자 데이터를 보호하는데 주력하며 사회적 플랫폼을 위한 근본적인 점검이 필요하다고 말했다. 또한, 기업들은 자신이 어떤 애플리케이션을 현명하게 사용하는지 선택할 필요가 있으며, 완전히 오픈 소스이고 독립적으로 감사를 받은 애플리케이션만 비즈니스 환경에서 사용할 수 있도록 해야한다고 말했다.

 


3. [기사] Remos RAT의 ToS에 의해 제약받지 않는 사이버 범죄자
[https://www.bleepingcomputer.com/news/security/cybercriminals-undeterred-by-tos-for-remcos-rat/]

Remcos(Remote Control and Surveillance)의 이름으로 제공되어 악의적 용도로 사용할 수 있는 원격 액세스 도구(RAT)는 Breaking Security라는 회사에서 배포되어 XP를 시작으로 서버 버전을 포함한 모든 버전의 Windows 운영 체제를 완벽하게 제어할 수 있는 기능을 갖추고 있다. 여기에는 관리, 감시, 프록시 등의 원격 기능이 포함되며, 랩톱의 도난 방지 도구로도 사용할 수 있다. 
Remcos는 탐지를 피하는 여러 방법으로 악성코드 캠페인에 참여했다. 터키에서 일어난 공격을 보면, 악성 마이크로소프트 오피스 문서가 이메일에 첨부되어 사용자로 하여금 열게 만들어 매크로를 가능하게 하는 스피어 피싱이었다. 이 소프트웨어의 기능을 남용하지 않는 방법은 불법 행위 증거가 있을 때마다 라이센스를 차단하는 것이다. 라이센스 코드는 각 사용자마다 고유하며 Remcos를 설치하면 시스템에 저장된 레지스트리에 따라 악성 또는 불법 용도로 사용된 라이센스를 쉽게 추적할 수 있다. 이러한 RAT에 대해 고려한 보호가 필요하다고 말했다.  

 


4. [기사] Cheddar Scratch Kitchen, 500,000개의 넘는 카드 데이터 유출

[https://www.bleepingcomputer.com/news/security/cheddar-scratch-kitchen-exposes-card-data-of-over-500-000//]

23개 주의 Cheddar Scratch Kitchen지역 레스토랑의 카드 정보가 공격을 받았다. 2017년 3월에 Cheddar을 인수한 Darden 레스토랑은 8월 16일 POS(point-of-sale) 시스템에 대한 경고를 받았다. 현재 위험한 카드 정보는 약 567,000개로 추정된다. 이른 조사에 따르면 2017년 11월 3일부터 2018년 1월 2일 사이에 Cheddar Scratch Kitchen 네트워크에 침입 시도 접근을 한 것으로 밝혀졌다. 
이 사고에 따른 보도 자료에 따르면 Darden 레스토랑은 2018 년 4 월 10 일 이후로 장애가 발생하여 교체된 PoS 시스템에서이 손상이 발생했다고 말했고, 이는 현재 지불 시스템과 프랜차이즈의 네트워크는 영향 받지 않는다고 했다. 3 개월 동안 체다 지역에서 카드 결제를 한 23 개주의 사람들은 프랜차이즈에서 무료로 제공하는 신원 보호 서비스를 활성화하는 것이 좋다. 카드 번호는 암거래 시장에서 큰 사업이다. 수반되는 정보와 카드 유형에 따라 사이버 범죄자는 각 항목에 대해 최소 7 달러로 판매할 수 있다.

 

 

5. [기사] 최근 Turla 백도어가 이메일 PDF 첨부파일을 C&C 매커니즘으로 악용
[https://thehackernews.com/2018/08/mexico-banking-malware.html

ESET의 악성코드 연구원들은 메일 PDF 첨부파일을 C&C로 활용하는 Turla 백도어의 최신 변형에 대한 자세한 보고서를 발표했다. Turla는 APT그룹의 러시아 사이버 스파이 그룹의 이름이다 주로 고위층이 공격 대상이었으며  스위스 국방 회사인 RUAG, 미국 국무부 및 미국 중앙 사령부가 포함되었다. Turla는 Turla(Snake and Uroburos rootkit), Epic Turla(Wipbot and Tavdig) 및 Gloog Turla로 추적되는 정교한 해킹 도구들로 구성되어 있다. ESET가 실시한 새로운 분석에 따르면, 해커들이 독일의 연방 외무부를 침입했고, 여러 대의 컴퓨터를 감염시켰고 2017년 거의 모든 기간 동안 백도어를 사용해 정보를 탈취했다. Turla 백도어는 적어도 2009년부터 사용되어 왔고 수년에 걸쳐 지속적으로 개선되었다. 가장 최근의 샘플은 매우 정교해 보이고 드문 수준의 스텔스 및 복원력을 구현한다. 마지막으로 분석된 변형은 2018년 4월 날짜이며 컴퓨터 메모리에서 직접 악성 PowerShell 스크립트를 실행할 수 있는 기능을 구현한다.

첨부파일 첨부파일이 없습니다.
태그 페이스북  Remcos  Apache Struts2  Turla