Apache Tomcat 서버에 존재하는 파일에 취약점이 포함되어 있어, 공격자가 해당 취약점을 악용하여 Tomcat의 webapp목록 하위에 있는 모든 임의의 파일을 읽어들일수 있습니다. 또한 취약한 서버가 파일 업로드를 허용하는 경우, 공격자는 이를 악용하여 파일 형식 내 악성 jsp코드를 업로드 하고, 해당 취약점을 유발하여 원격코드실행이 가능합니다. 취약점 원리 Tomcat은 기본적으로 conf/server.xml에 2개의 Connector가 설정되어 있습니다. 한 개는 외부로 HTTP 프로토콜을 전송하는 8080 포트이고, 또 다른 한 개는 AJP 프로토콜의 8009 포트입니다. 이 두 포트는 디폴트로 외부망 ip를 수신합니다. Tomcat이 ajp request를 받았을 경우, org.apac..

국내외 보안동향 2020. 2. 26. 14:24

New OpenSMTPD RCE Flaw Affects Linux and OpenBSD Email Servers OpenSMTPD에서 또 다른 치명적인 취약점이 발견되었습니다. 원격 공격자가 BSD 또는 리눅스 OS를 실행하는 이메일 서버의 제어권을 탈취하도록 허용하는 것으로 나타났습니다. OpenBSD SMTP Server로도 알려진 OpenSMTPD는 로컬 머신에 메시지를 전달하거나 다른 SMTP 서버로 릴레이하기 위한 SMTP의 오픈 소스 구현입니다. 이는 초기에는 OpenBSD 프로젝트의 일환으로 개발되었지만, 현재는 많은 유닉스 기반 시스템에 선탑재되어 출시됩니다. Qualys Research Labs의 전문가들이 발견한 이 취약점은 CVE-2020-8794로 등록된 범위 외 읽기(out-of-..

국내외 보안동향 2020. 2. 26. 08:52

ObliqueRAT, a new malware employed in attacks on government targets in Southeast Asia Cisco Talos의 전문가들이 정부와 외교 기관을 노리는 공격자가 개발한 ObliqueRAT이라는 새로운 악성코드를 발견했습니다. 이 악성코드는 동남아시아의 조직을 노리는 타깃 공격에 사용되었습니다. Cisco Talos는 최근 악성 원격 접속 트로이목마(RAT) 패밀리인 “ObliqueRAT”을 배포하는 새로운 캠페인을 발견했다고 밝히며 ObliqueRAT과 2019년 12월 발생한 CrimsonRAT을 배포하는 다른 캠페인 사이의 링크를 발견했습니다. 이 둘은 유사한 악성 문서와 매크로를 사용했습니다. 또한 CrimsonRAT은 동남아시아 지역의..

국내외 보안동향 2020. 2. 25. 14:42

VMware addresses serious flaws in vRealize Operations for Horizon Adapter VMware가 원격 코드 실행, 인증 우회 이슈 등 Horizon 아답터용 vRealize Operation에 존재하는 심각한 취약점을 패치했습니다. VMware vRealize Operations는 물리, 가상 클라우드 환경의 운영 관리를 제공하는 소프트웨어 제품으로 vSphere, Hyper-V 또는 아마존 웹 서비스 기반 환경을 지원합니다. 사용자는 VMware vRealize Operations Manager 노드에서 생성된 Horizon Adapter 인스턴스를 통해 가상 머신에 설치된 Horizon 에이전트로부터 통신을 수신할 수 있습니다. 베트남 통신사의 Vie..

국내외 보안동향 2020. 2. 24. 15:55

Google Bans 600 Android Apps from Play Store for Serving Disruptive Ads 구글이 플레이스토어에서 공격적인 광고를 표시하고 광고 가이드라인을 위반한 안드로이드 앱 약 600개를 차단했습니다. 구글은 전화를 걸려고 시도할 때 표시되는 전체 화면 광고 등 “사용자가 기기의 기능을 사용하는 것을 방해하고, 예기치 않은 방식으로 사용자에게 표시되는 광고”를 공격적인 광고로 분류하고 있습니다. 구글은 문제의 앱 이름을 공개하지는 않았지만, Buzzfeed 뉴스에 따르면 이 중 대부분은 45억 회 이상 설치되었으며 주로 영어권 사용자를 노리고 개발자는 중국, 홍콩, 싱가포르, 인도에 위치한 것으로 나타났습니다. 또한 구글은 악성 개발자들이 “공격적인 광고를 배포..

국내외 보안동향 2020. 2. 24. 14:08

Croatia’s largest petrol station chain INA group hit by ransomware attack 랜섬웨어 공격으로 인해 크로아티아 최대 석유 회사이자 주유소 체인인 INA 그룹의 운영이 중단되었습니다.INA, d.d. 는 헝가리아의 MOL 그룹과 크로아티아 정부가 최대주주로 있는 주식회사입니다. 이 회사는 현지 시간으로 지난 금요일 2월 14일 22:00에 발생한 공격으로 인해 인보이스 발행 및 마일리지 카드 사용이 불가능했다고 밝혔습니다. “INA 그룹은 현재 사이버 공격을 받고 있습니다. 따라서 모바일 전화 바우처, 전자 비네트, 청구서 지불 등 서비스 운영에 영향을 미칠 수 있습니다.” “시장 공급 부분은 안전한 상태입니다. 각 지점에서 주유하는 데는 이상이 없습..

국내외 보안동향 2020. 2. 21. 15:25

Cisco critical bug: Static password in Smart Software Manager – patch now, says Cisco Cisco가 높은 보안이 요구되는 조직을 대상으로 하는 소프트웨어 라이선스 관리 툴인 SSM(Smart Software Manager) On-Prem 제품 내 치명적인 취약점을 수정했습니다. Cisco SSM은 조직 내에서 시스코 소프트웨어 라이선스 및 제품 활성화 키를 관리하기 위해 사용합니다. SSM의 On-Prem 컴포넌트에서 심각도 10점 만점에 9.8점을 기록한 치명적인 결함이 발견되었습니다. Cisco는 CVE-2020-3158로 등록된 이 버그를 악용할 경우 원격 공격자가 권한이 높은 계정을 통해 시스템 내 민감한 부분에 접근할 수 있다고 ..

국내외 보안동향 2020. 2. 21. 14:28

WordPress botnet deploys anti-adblocker script to make sure its spammy ads are profitable 인터넷 상의 최대 규모 워드프레스 봇넷이 해킹된 사이트에 주입한 광고가 사용자의 브라우저에 표시되어 수익을 창출하도록 안티 애드블록커 스크립트를 사용하는 것으로 나타났습니다. 이 봇넷의 이름은 WP-VCD이며 2017년 초부터 활동을 시작했습니다. 이 봇넷의 운영자들은 유료 워드프레스 테마의 해적판을 공유하는 “무료 다운로드” 사이트 네트워크를 운영합니다. 하지만 이 해적판 테마에는 백도어가 포함되어 있어 WP-VCD 해커 그룹이 웹사이트를 하이잭 할 수 있었습니다.해커들은 하이재킹된 사이트의 방문자를 피싱 페이지나 악성 파일을 호스팅하는 사이트..

국내외 보안동향 2020. 2. 20. 13:48