Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 21일] 주요 보안 이슈
작성일 2017-11-21 조회 2854

1.[기사] F5 제품의 취약점으로 암호화 된 데이터 복구 가능
[http://www.securityweek.com/flaw-f5-products-allows-recovery-encrypted-data?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

일부 F5 Networks 제품에 영향을 미치는 암호화 취약점이 존재한다. 해당 취약점은 원격 공격자가 암호화 된 데이터를 복구하고 MitM(Man-in-the-Middle) 공격을 시작하는 데 악용될 수 있다. 영향을 받은 제품은 LTM, AAM, AFM, 애널리틱스, APM, ASM, DNS, GTM, 링크 컨트롤러 및 PEM과 같은 보안, 트래픽 관리 및 성능 서비스를 포함한 F5의 BIG-IP 애플리케이션 제공 플랫폼의 일부이다. 이 결함은 F5 WebSafe에도 영향을 미치는 것으로 밝혀졌다. F5에 따르면 이 취약점은 클라이언트 SSL 프로필 및 RSA 키 교환을 사용하도록 구성된 가상 서버가 암호화 텍스트 공격을 수행하도록 한다. RSA 키 교환을 사용하여 설정된 TLS 세션에 대한 공격을 시작하면 원격 해커가 서버의 개인 키에 대한 액세스 권한이 없더라도 일반 텍스트 데이터를 복구하고 MitM 공격을 시작할 수 있다. Cloudflare의 암호화 전문가인 Nick Sullivan은 취약점이 악의적인 DROWN 버그와 유사하며 SSLv2가 사용될 때 공격자가 TLS 통신을 해독할 수 있다고 지적했다. 해당 취약점은 CVE-2017-6168로 추적되고 현재 각 제품에 대한 패치 업데이트를 발표했다. 회사 측은, 암호화된 메시지의 일반 텍스트 복구를 수행하기 위해 이 취약점을 악용하면 세션이 완료된 후에도 공격자가 일반 텍스트를 읽을 수 있다며 업데이트 할것을 권고했다.


2.[기사] MS, 수동으로 오피스 구성 요소 패치 (CVE-2017-11882)
[http://www.securityweek.com/microsoft-manually-patched-office-component-researchers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/microsoft/microsoft-appears-to-have-lost-the-source-code-of-an-office-component/]

MS 엔지니어들이 취약한 구성 요소의 소스 코드를 변경하는 대신 Office 취약점을 수동으로 패치한 것으로 나타났다. CVE-2017-11882로 추적된 이 취약점은 Microsoft의 11월 보안 업데이트의 일부로 패치되었다. 이 취약점은 Microsoft 수식 편집기(EQNEDT32.EXE)에 존재하고 있었다. 연구원들이 기존에 패치된 파일 버전을 분석하는 동안 컴파일 날짜가 2017.8.14.0 임에도 불구하고 원래 파일과 거의 동일한 취약점을 가진 것을 발견했다. Microsoft가 소스 코드를 수정했다면 이러한 현상은 발생하기 어렵다. 그러나 이진 실행 파일을 수동으로 패치했기 때문에 이러한 현상이 발생했다. 회사 측은 이에 대해, 숙련된 Microsoft 직원이나 계약자가 취약점을 가진 EQNEDT32.EXE를 리버스 엔지니어링하고 기존 명령을 수동으로 덮어서 수정했다고 설명했다. 다른 보안 전분가들은 이러한 입장 발표에 대해 회사가 구성 요소의 소스 코드를 잃어 버린게 아닌가 의문을 가지고 있다.


3.[기사] 인터넷 게시물에 저장된 18억개의 무방비 미 국방 데이터베이스
[http://www.securityweek.com/unprotected-pentagon-database-stored-18-billion-internet-posts?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

연구원은 미 국방부의 계약자가 소셜 미디어 서비스, 뉴스 웹 사이트 및 포럼에서 수집한 18억 개의 게시물을 저장한 비보호 데이터베이스를 발견했다. 정보를 저장한 하위 도메인의 이름을 기반으로 국방부의 통일된 전투원 명령인 미국 중앙 사령부 (CENTCOM) 및 미국 태평양 사령부 (PACOM)에 대한 정보가 수집된 것으로 추측된다. 노출된 기록은 뉴스 웹 사이트, 포럼 메시지 및 Facebook과 같은 소셜 미디어 서비스의 게시물에 게시된 댓글을 포함해 스포츠, 비디오 게임, 유명인 및 정치를 포함한 다양한 주제가 기록되었다. 이 데이터를 분석한 결과 현재는 존재하지 않는 민간 부문 계약자인 벤더 엑스(VendorX)가 펜타곤에 대해 수집한 것으로 나타났다. 노출된 데이터가 공개 소스에서 수집된 사건으로 인해 전문가들은 미국 정부의 정보 작전의 사생활 및 시민의 자유에 대한 영향에 대해 몇 가지 의문이 제기된다며, 데이터 노출이 타사 공급 업체와 관련된 위험임을 다시 한 번 강조했다. 현재 미 국방부는 누출된 데이터베이스를 확보한 상태이다다. 조직은 CNN에 정보가 정보 수집 목적으로 수집되거나 처리되지 않았다고 발표했다. 


4.[기사] IoT 공격 막는 무료 DNS 서비스 ‘콰드9’
[http://www.boannews.com/media/view.asp?idx=58117&mkind=1&kind=1]

봇넷과 연결된 악성 도메인이나 피싱 캠페인, 기타 악성 활동을 걸러주는 무료 DNS(Domain Name System) 서비스가 출시됐다. 이 서비스의 이름은 ‘콰드9(Quad9)’으로, 보안 업체 IBM 시큐리티(IBM Security)와 인터넷 보안을 위한 비영리 연구소 패킷 클리어링 하우스(Packet Clearing House), 사이버 위협 억제를 위한 국제적 연합체 글로벌 사이버 얼라이언스(Global Cyber Alliance)가 공동으로 구축했다. 콰드9은 중소기업 및 일반 소비자를 대상으로 만들어졌는데, 사용자의 DNS 검색 정보를 광고주와 공유하거나 외부로 판매하지 않는다는 특징이 있다. 현재 글로벌 사이버 얼라이언스의 회장이자 전직 미국 국토안보부(DHS)의 국가 보호 및 프로그램 부서 부차관을 역임한 필립 라이팅거(Philip Reitinger)는 “위협 및 대규모 침해 중 90에서 95프로는 DNS를 거쳐 들어온다”고 말했다. 라이팅거는 콰드9이 악성으로 분류된 피싱 사이트를 차단한다고 짚었다. DNS 공격은 고객뿐만 아니라 기업에도 은밀하게 닥칠 수 있다. 보안 업체 인포블락스(Infoblox) 의뢰로 다이멘셔널 리서치(Dimensional Research)가 최근 수행한 연구에 따르면, 기업 10곳 중 3곳은 자사 DNS 인프라에서 사이버 공격을 받은 적 있다고 밝혔다. 또한, 공격 받은 기업 중 93%는 공격으로 인해 정지 시간(downtime)을 겪기도 했다고 밝혔다. 여기서 상기해야 할 점은, DNS가 공격 받았다고 실제로 탐지할 수 있었던 기업의 수만 따졌다는 사실이다. 전문가들은 많은 기업들이 인지조차 하지 못하기 때문에 DNS 공격의 실제 숫자는 훨씬 더 높을 것으로 예측하고 있다.


5.[기사] “토렌트로 받은 불법 한글 HWP2017 주의…좀비 PC될 수 있다”
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=26004]

지난 11월 13일부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요하다. 이 프로그램을 사용할 경우 좀비 PC가 될 수 있다. 실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군이다. 토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있다. 이스트시큐리티 시큐리티대응센터(ESRC) 측은 “이 RAT 종류에 감염될 경우 대부분의 원격제어 기능에 노출되어 좀비 PC로 전락하게 된다. 공격자는 명령제어 서버(C2) '211.110.35.168' 한국(KR) 호스트로 접속 대기를 유지하며 접속이 완료되면 감염 컴퓨터를 원격제어하여 개인정보 탈취 및 다양한 피해를 준다”며 “토렌트로 배포되는 불법 소프트웨어에는 은밀하게 악성파일이 숨겨져 있는 경우가 많아 자신도 모르게 좀비 PC로 전락하는 피해를 입을 수가 있다. 따라서 상용 소프트웨어는 반드시 정품을 사용하고 비정상적인 프로그램은 절대 실행하지 않는 것이 중요하다”고 강조했다.


6.[기사] 北 PC 상당수 바이러스 감염…외국 해커 등에 악용 
[http://news1.kr/articles/?3157697]

북한 내 개인용 컴퓨터(PC)의 상당수가 컴퓨터 바이러스에 감염돼 다른 외국 해커 등의 사이버 공격에 '악용'되고 있다는 주장이 제기됐다. 북한이 근래 '외화벌이' 등의 목적으로 사이버 공격을 벌이고 있는 것으로 알려져 있지만, 내부 사이버 보안은 여전히 취약한 수준인 것 같다는 지적이다. 20일 일본 산케이신문에 따르면 정보보안업체 트렌드마이크로가 작년 8~12월 북한의 인터넷 트래픽(인터넷을 이용한 데이터 송수신) 현황을 분석한 결과, 이 기간 북한에서 발송된 스팸메일 중 최소 30건은 원격조작 바이러스에 감염된 PC에서 발송된 것으로 파악됐다. 트렌드마이크로는 "스팸메일을 보낸 북한 PC 중엔 1년 이상 바이러스에 감염된 채 방치돼 있는 것도 있었다"면서 "외국 해커 등이 발신처를 숨기기 위해 북한 PC를 '경유지'로 이용한 것 같다"고 설명했다. 제한된 자금과 인력 때문에라도 북한이 내부 보안보다는 외부를 향한 사이버공격에만 주력하고 있는 것으로 보인다. 이는 북한에서 인터넷을 사용할 수 있는 인구가 극히 제한적임을 의미하는 동시에, 외부에서 마음만 먹으면 대규모 디도스(DDoS·분산서비스거부) 공격 등을 통해 북한의 얼마 되지 않는 인터넷망을 마비시키려 할 수 있음을 의미하고 있다.

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-11882  콰드9