Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 30일] 주요 보안 이슈
작성일 2020-01-30 조회 462

1. [기사] 하이웍스·서버관리자 사칭 악성메일 유포... 비밀번호 등 계정 탈취 시도
[https://www.boannews.com/media/view.asp?idx=86033&page=1&kind=3]
메일 호스팅 및 클라우드 그룹웨어 서비스인 하이웍스 사용자를 노린 악성메일 등 메일 사용자를 노린 사이버 공격이 28일, 29일 연이어 발견됐다. 이번 공격은 하이웍스(29일 유포된 두 번째 메일)와 서버 관리자(28일 유포된 첫 번째 메일)를 사칭하며 이메일에 로그인하도록 만들어 비밀번호 등 계정정보 탈취를 시도하는 것으로 확인됐다. 실제 메일에 있는 링크를 클릭하면 ‘계정 확인’ 페이지가 뜨며 사용자의 메일 주소와 함께 비밀번호를 입력하라고 안내한다. 특히, 본문에 있던 사서함 종료 시각이 빨간색으로 카운트하면서 사용자가 빨리 비밀번호를 입력하도록 유도하고 있다.


2. [기사] GE의 고성능 PLC에서 치명적 보안 취약점 발견... 국가기반시설 패치 필수
[https://www.boannews.com/media/view.asp?idx=86030&page=1&kind=1]
전 세계 기반시설에서 널리 사용 중인 GE의 고성능 PLC(Programmable Logic Controller)인 ‘PACSystems RX3i’에서 치명적인 서비스 거부 취약점(CVE 2019-13524)이 발견됐다. PLC 관리 소프트웨어인 PME(Proficy Machine Edition)와 RX3i 사이 통신에 사용하는 제조사 전용 프로토콜의 특정 네트워크 패킷을 정교하게 조작할 경우, 별도의 인증과정 없이 원격에서 RX3i를 정지상태(halt mode)로 만들 수 있다. 제조, 수처리, 댐, 에너지 등 다양한 기반시설에서 모터·펌프·밸브와 같은 현장 장치의 제어를 담당하는 PLC가 갑자기 정지상태로 빠지게 될 경우, 기반시설의 물리적 피해 및 경제적 손실이 발생할 수 있다. 해당 취약점을 찾아낸 국가보안기술연구소는 기반시설 제어시스템 취약점 대응 업무를 담당하고 있는 CISA(구 ICS-CERT)에 통지(ICSA-20-014-01) 함으로써, 제조사인 GE가 취약점 패치를 개발 및 배포하도록 했다고 밝혔다. RX3i에서 발견된 보안 취약점은 제어시스템과 사이버보안에 대한 전문지식이 있는 공격자라면 어렵지 않게 공격할 수 있는 위험한 취약점이라고 한다. 또한, 연구진은 곧바로 패치 적용이 어려울 경우 망분리·접근통제와 같은 보안 대책을 적용해야 한다고 말했다.


3. [기사] Emotet Uses Coronavirus Scare to Infect Japanese Targets
[https://www.bleepingcomputer.com/news/security/emotet-uses-coronavirus-scare-to-infect-japanese-targets/]
Malspam 캠페인은 기후현, 오사카, 돗토리 등 일본의 여러 현에서 코로나바이러스 감염보고 대상을 경고하는 이메일을 통해 Emotet 페이로드를 적극적으로 배포하고 있다. 잠재적 피해자들을 위협하기 위해, 장애 복지 서비스 제공자와 공중 보건소의 공식 통보로 위장한 스팸 메일은 첨부물 내에서 코로나바이러스 감염 예방 조치에 대한 더 자세한 정보를 제공할 것이라고 설명한다. Emotet 갱은 Greta Thunberg 데모 또는 크리스마스 및 핼러윈 파티에 초대하는 등 목표한 맞춤형 템플릿을 발송해 트렌드 이벤트를 이용하고 휴일에 다가가는 것으로 유명하다. 이러한 스팸 전자 메일의 최종 목표는 수신자가 Emotet 악성코드를 다운로드하여 설치하도록 설계된 첨부 된 Word 문서를 열도록 속이는 것이다. Word 문서의 매크로가 활성화되면 Emotet 페이로드가 PowerShell 명령을 사용하여 피해자의 장치에 설치된다. 감염된 컴퓨터는 악의적인 스팸 메시지를 다른 대상에게 전달하고 랜섬웨어를 제공하는 것으로 알려진 Trickbot info stealer Trojan과 같은 다른 악성코드 변종을 장치에 드롭하는 데 사용된다.


4. [기사] A vulnerability in Zoom platform allowed miscreants to join Zoom meetings
[https://securityaffairs.co/wordpress/96945/breaking-news/zoom-platform-flaw.html]
Zoom 온라인 회의 시스템의 취약점을 악용하여, 보호되지 않은 활성 회의를 원격으로 도청할 수 있어 세션 전체에서 공유되는 개인 오디오, 비디오 및 문서가 노출될 수 있다. 'Join Meeting' URL(https://zoom.us/j/{MEETING_ID})에 액세스할 때 반환된 응답의 HTML 본문에 있는 div 요소를 분석하여 Zoom Meeting ID가 유효한 미팅과 연관되어 있는지 확인할 수 있음을 발견했다. 그리고 검증 프로세스를 자동화하여 무작위로 생성된 회의 ID의 최대 4%를 예측할 수 있었으며 이는 순수한 무차별 대입과 비교할 때 매우 높은 성공 확률이라고 말했다. 해당 취약점을 발견한 Check Point는 2019년 7월에 해당 결함을 보고했고 9월에 이 문제를 해결했으며, 플랫폼은 새 회의, 인스턴트 회의 및 개인 회의 ID(PMI)를 예약할 때 암호를 요구한다.


5. [기사] 저전력 사물인터넷 장비 통신 위한 LoRaWAN에서 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=86035&page=1&kind=1]
저전력 사물인터넷 장비들을 위해 고안된 장거리 광대역 네트워크 프로토콜인 LoRaWAN에서 위험한 취약점이 발견됐다. 보안 업체 아이오액티브(IOActive) 보고서에 의하면 LoRaWAN 환경 내 장비, 게이트웨이, 네트워크 서버 간 통신에 사용되는 암호화 키들의 보호 장치가 충분히 강력하지 않아, 비교적 간단히 취득할 수 있다. 아이오액티브는 LoRaWAN 환경에서 루트 키를 훔쳐낼 수 있는 여러 가지 방법들을 제시했으며, 오픈소스 리포지터리들에 하드코드 된 암호화 키를 가지고 소스 코드에 접근할 수도 있다고 말했다. 해당 취약점이 익스플로잇될 경우 디도스, 중간자 공격 또는 모든 공격을 조합해 주요 기반 시설에 물리 피해를 입히는 것도 가능하다. 아직 실제 해킹 공격이 발생한 건 아니지만, 실현 가능성이 존재하며 난이도가 높지 않다고 말했다. LoRaWAN 프로토콜은 58개국의 133개 통신사가 LoRaWAN을 제공하고 있는데, 여기에는 한국의 대형 통신사도 포함되어 있다고 한다.

첨부파일 첨부파일이 없습니다.
태그 PACSystems RX3i  CVE 2019-13524  Emotet   Zoom   LoRaWAN