Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 19일] 주요 보안 이슈
작성일 2019-09-19 조회 134

1. [기사] Smominru Botnet Indiscriminately Hacked Over 90,000 Computers Just Last Month

[https://thehackernews.com/2019/09/smominru-botnet.html]
악명 높은 암호화폐 마이닝 및 자격 증명 스털링 봇넷인 Smominru는 현재 전 세계적으로 매달 90,0000대 이상의 시스템을 감염시키는 컴퓨터 바이러스 중 하나가 되었다. Smominru 봇넷으로 컴퓨터를 해킹하는 캠페인은 특별한 관심을 가진 목표를 달성하도록 설계되지 않았지만 Guardicore Labs 연구원의 최신 보고서에는 피해자의 특성과 공격 인프라에 대해 설명했다. 지난달 연구원에 따르면 4,900개 이상의 네트워크가 웜에 의해 차별 없이 감염되었으며, 이 네트워크 중 다수는 수십 개의 내부 시스템을 감염시켰다. 2017년부터 활성화된 Smominru 봇넷은 20016년 WannaCry 랜섬웨어 공격으로 가장 잘 알려진 수단인 EternalBlue를 사용하여 윈도우 시스템을 손상시킨다. 대상 시스템에 처음 액세스하면 트로이 목마와 암호화폐 마이너를 설치하고 네트워크 내부로 전파하여 피해자 PC의 CPU 성능을 사용하여 Monero를 채굴하고, 악성코드 운영자가 소유한 지갑으로 보낸다. 해당 봇넷은 대부분 윈도우7과 윈도우 서버 2008을 실행하고 있는 취약한 기계들을 하루에 4,700대의 속도로 감염시키고 있으며, 중국, 대만, 러시아, 브라질, 그리고 미국을 포함한 나라들에서 수천대의 감염이 감지되고 있다.


2. [기사] Microsoft Phishing Page Sends Stolen Logins Using JavaScript
[https://www.bleepingcomputer.com/news/security/microsoft-phishing-page-sends-stolen-logins-using-javascript/]
SmtpJS 서비스를 사용하여 도난된 자격 증명을 전자 메일을 통해 공격자에게 보내는 Microsoft 계정 피싱 사기의 새로운 랜딩 페이지가 발견되었다. MalwareHunterTeam에 의해 발견된 Microsoft 계정 피싱 페이지의 모양에 특별한 것은 없으며, Microsoft 자격 증명을 요청한 다음 제출된 자격 증명이 잘못되었음을 알려주는 표준 Microsoft 로그인 템플릿이다. 사용자가 이와 같은 피싱 사기로 자격 증명을 제출하면 해당 페이지는 일반적으로 나중에 검색 할 수 있도록 자격 증명을 데이터베이스에 저장하거나 백엔드 스크립트를 사용하여 공격자에게 보낸다. 이 특정 랜딩 페이지는 SmtpJS 서비스를 사용하여 JavaScript를 통해 공격자에게 이메일을 발송함으로써 다른 작업을 수행한다. 조직에서 절대적으로 필요하지 않는 한, SmtpJS 사이트에 대한 액세스를 차단할 수 있으며 이를 사용하는 피싱 페이지는 제출된 자격 증명을 받을 수 없다.

 

3. [기사] 마이터 코퍼레이션, 가장 위험한 취약점 25개 선정
[https://www.boannews.com/media/view.asp?idx=83032]
마이터 코퍼레이션(MITRE Corporation)이 ‘가장 위험한 소프트웨어 오류 25개’를 발표했다. 마이터는 미국 취약점 데이터베이스(NVD)로부터 CVE와 관련된 데이터를 수집하고, 모든 취약점의 CVSS 점수와 실제 공격에 나타나는 빈도수를 총합하여 해당 목록을 산출했다. 올해의 취약점 순위는 여기(https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html)서 열람이 가능하다. 이번 취약점 프로젝트를 담당했던 크리스 레벤디스(Chris Levendis)는 올해 최고의 취약점 25개에는 깜짝 놀랄 만한 요소가 거의 없으며, 예전부터 우리를 괴롭혀왔던 주요 취약점들이 아직 고스란히 목록에 남아있다고 말했다. 1위를 차지한 취약점은 CWE-119로, 총점 75.56점을 받은 버퍼 오버플로우(buffer overflow) 취약점이다. 그 다음으로 높은 점수를 확보한 취약점은 CWE-79로 45.69점을 받은 XSS 취약점이다. 

 

4. [기사] AMD Radeon 그래픽카드 일부에서 치명적인 취약점 나와
[https://www.boannews.com/media/view.asp?idx=83041]

AMD Radeon 그래픽카드의 일부 설정 파일에서 원격 코드 실행을 가능케 해주는 취약점이 발견됐으며, 공격자가 해당 취약점을 익스플로잇 하는 데 성공할 경우, 장비를 완전히 장악할 수도 있게 된다. 해당 공격은 변형된 픽셀 셰이더(malformed pixel shader)를 Radeon RX 550이나 Radeon 550 시리즈 그래픽카드에 옮길 수 있도록 공격자가 특수하게 조작한 웹 사이트에 취약한 그래픽카드를 사용하는 사용자가 접속할 경우 발생한다. 또한, 해당 공격이 성공하기 위해서는 시스템에 VM웨어 워크스테이션(VMWare Workstation) 15가 설치되어 있어야 하고, 64비트 윈도우 10이 게스트 가상 기계로서 운용되고 있어야 한다. 해당 취약점은 AMD ATIDXX64.DLL 드라이버에 변형된 픽셀 셰이더를 제공함으로써 발동시키는 게 가능하고, VM웨어 게스트 사용자 모드에서 취약점을 발동시키면, 메모리 변형이 호스트의 vmware-vmx.exe 프로세스와 WEBGL에서 발생한다. 메모리 변형 취약점(memory-corruption)의 일종으로 분류되는 CVE-2019-5049는 CVSS 점수 9.0점을 기록하면서 치명적 위험도를 가진 것으로 분석됐다. 또한, AMD의 ATIDXX64.DLL 드라이버 25.20.15031.5004 버전과 25.20.15031.9002 버전에 영향을 주는 것으로 나타났다. 


5. [기사] Warning: Researcher Drops phpMyAdmin Zero-Day Affecting All Versions
[https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html]
최근 한 사이버 보안 연구자는 MySQL 및 MariaDB 데이터베이스를 관리하는 가장 인기 있는 응용프로그램 중 하나인 phpMyAdmin의 패치되지 않은 제로 데이 취약성에 대한 세부 정보와 개념 증명서를 발표했다. phpMyAdmin은 MySQL 및 MariaDB를 위한 무료 오픈 소스 관리 도구로 WordPress, Joomla 및 기타 여러 콘텐츠 관리 플랫폼으로 작성된 웹 사이트의 데이터베이스를 관리하는 데 널리 사용된다. 보안 연구원과 pentester Manuel Garcia Cardenas가 발견한 해당 취약점은 공격자가 인증된 사용자를 속여 원치 않는 작업을 실행하도록 속이는 CSRF(Cross-Site Request Forgery) 취약점이라고 말했다. CVE-2019-12922로 식별된 이 결함은 공격자가 피해자의 서버에 있는 phpMyAdmin 패널의 설정 페이지에 구성된 서버를 삭제할 수 있는 제한된 범위 때문에 중간 등급이 부여되었다. 즉, 공격자가 서버에 저장된 데이터베이스나 테이블을 삭제할 수 없으며, 공격자가 동일한 브라우저에서 phpmyAdmin 패널에 이미 로그인 한 대상 웹 관리자에게 조작된 URL을 전송하여 구성된 서버의 클릭을 유도하고, 자신도 모르게 구성된 서버를 삭제하도록 속이는 것이다. 결함은 현재(19.09.19) 기준으로 최신 소프트웨어 버전인 4.9.0.1 이하의 phpMyAdmin 버전에 영향을 미친다.

첨부파일 첨부파일이 없습니다.
태그 Smominru  SmtpJS  AMD Radeon  phpMyAdmin