2018년 8월 23일, Apache Struts2 원격코드실행 취약점이 공개되었습니다. 이 취약점은 Semmle Security Research team 보안연구원이 발견하였으며, 취약점 공식 CVE 번호는 CVE-2018-11776(S2-057) 입니다. Struts2의 XML 설정 중 namespace 값을 설정하지 않고 Action Configuration을 설정하지 않았거나, 혹은 와일드카드 namespace를 사용했을 경우에는 원격코드실행이 가능합니다. 더 자세한 내용은 여기를 참고해 주시기 바랍니다. 영향받는 버전 Struts 2.3 to 2.3.34Struts 2.5 to 2.5.16 PoC ▶ 여기 참고 패치 방법 공식 홈페이지에서 최신 버전으로 업데이트Struts 2.3.35 (패치완료..

국내외 보안동향 2018. 8. 23. 10:34

Google Project Zero의 보안연구원 Tavis Ormandy는 새로 발견한 Ghostscript 취약점 상세내용을 공개하였습니다. Ghostscript는 Adobe PostScript와 PDF 해석기로 현재 많은 응용프로그램(예를들어 ImageMagick、Evince、GIMP、PDF리더기 등)에서 사용중에 있습니다. 원격코드실행 취약점 공격자는 악성 PostScript、PDF、EPS 또는 XPS 파일을 이용하여 취약점을 악용하며, 해당 취약점에 대한 CVE 번호와 패치는 아직 공개되지 않았습니다. 취약점 간단 개요 1. /invalidaccess 복구 실패 후 종료되기 때문에, 오류를 처리하는 경우에만 쉘 명령을 실행할 수 있습니다. $ *gs -q -sDEVICE=ppmraw -dSAFER..

국내외 보안동향 2018. 8. 22. 18:20

Dark Tequila Banking Malware Uncovered After 5 Years of Activity 카스퍼스키 랩의 보안 연구원들이 최소 2013년부터 멕시코의 은행 기관들을 노려온 매우 복잡한 악성 캠페인을 발견했습니다. 다크 테킬라(Dark tequila)라 명명 된 이 캠페인은 고급 키로거 악성코드를 배포하며, 5년동안 발각 되지 않고 활동할 수 있었습니다. 이는 타겟공격인 특성 및 회피 기술 몇 가지를 사용한 덕분인 것으로 나타났습니다. 다크 테킬라는 주로 긴 온라인 뱅킹 사이트 목록을 사용해 피해자의 금융 정보를 훔치도록 설계 되었으며, 코드 버전 관리 저장소부터 공용 파일 저장소 및 도메인 등록기관에 이르기까지 인기있는 웹사이트들의 로그인 크리덴셜도 훔칩니다. 연구원들은 타겟 ..

국내외 보안동향 2018. 8. 22. 16:13

최근 VBScript 엔진 내의 취약점이 Darkhotel APT에 악용되었습니다. VBScript는 Windows와 IE11의 최신 버전에서 사용 가능합니다.하지만 최신 버전의 윈도우의 브라우저 기본설정에서는 VBScript가 비활성화 되어있는데, 이는 취약점이 악용되는것을 막기 위한것입니다. MS는 7월 정기 보안업데이트 하루 이후에 VBScript 취약점이 악용되고 있다는 사실을 확인하였습니다. 이 취약은 CVE-2018-8373으로, 8월 정기 보안업데이트때 패치가 되었습니다. 해당 취약점은 메모리 손상 취약점으로, 공격자가 취약점이 존재하는 PC에서 shellcode를 실행시킬 수 있도록 허용합니다. 코드분석결과, 5월에 패치되었던 오래된 VBScript취약점인 CVE-2018-8174가 사용한..

국내외 보안동향 2018. 8. 22. 13:47

최근 중국에서는 "GSM 탈취 + 문자스니핑" 기술을 사용하여 사용자들에게 금전적 피해을 입히는 사건들이 발생하고 있습니다. 피해자들은 자고 일어나니 휴대폰에 수많은 인증 문자와 결제 문자가 도착해 있었으며, 은행 잔고는 바닥이 나 있었다고 밝혔습니다. 확인 결과 공격은 GSM 2G네트워크의 설계상 약점을 이용한 공격이였습니다. 해당 공격방식을 이용하면 공격 타겟의 휴대폰에 접근하지 않아도 휴대폰의 인증문자를 스니핑 할 수 있으며, 더 나아가 각종 은행, 홈페이지, 모바일 페이 APP에 존재하는 기술적 취약점과 결합하여 정보탈취, 금전탈취 등 추가적인 악성행위를 할 수 있습니다. 공격자들은 주로 늦은 밤 이러한 공격을 수행합니다. 기지국 영역 내에 있는 모든 사용자들의 문자 메세지를 스니핑 할 수 있으며..

국내외 보안동향 2018. 8. 21. 18:02

New "Turning Tables" Technique Bypasses All Windows Kernel Mitigations 보안 연구원들이 윈도우 OS의 커널 보호 장치를 우회할 수 있는 새로운 익스플로잇 기술을 발견했다고 밝혔습니다. 이 기술은 터닝 테이블이라 명명 되었으며, 윈도우의 페이지 테이블을 악용합니다. 페이지 테이블은 가상 메모리와 물리적 메모리 사이의 매핑을 저장하는데 사용 되며, 윈도우 뿐만 아니라 모든 운영 체제에 공통으로 사용 되는 데이터 구조입니다. 가상 주소는 OS 프로세스가 실행하는 프로그램들이 사용하며 물리적 주소는 하드웨어 구성요소들, 특히 RAM 서브 시스템이 사용합니다. 물리적 메모리(RAM)은 제한 되어 있기 때문에, OS는 많은 프로세스들이 동일한 코드를 저장하고 ..

국내외 보안동향 2018. 8. 21. 16:50

New PHP Code Execution Attack Puts WordPress Sites at Risk Secarma의 보안 연구원인 Sam Thomas가 이전에 위험도가 낮은 것으로 간주 된 기능을 이용해 해커가 PHP 프로그래밍 언어의 치명적인 역직렬화 (deserialization)취약점을 쉽게 트리거링 할 수 있는 새로운 익스플로잇 기술을 발견했습니다. 이 새로운 기술은 인기있는 컨텐츠 관리 시스템인 워드프레스와 Typo3 등으로 만들어진 웹사이트를 포함한 수 십만개의 웹 어플리케이션을 원격 코드 실행 공격에 노출 되었습니다. PHP 역직렬화 또는 오브젝트 인젝션 취약점은 2009년 처음 문서화 되었으며, 이는 공격자가 unserialize() PHP 함수에 악성 입력을 제공해 여러 종류의 공격..

국내외 보안동향 2018. 8. 20. 15:46

Widespread Instagram Hack Locking Users Out of Their Accounts 인스타그램이 러시아발로 추측 되는 광범위한 해킹 캠페인에 공격 당해 지난 주에만 수 백명의 사용자가 계정의 제어권을 잃었습니다. 점점 많은 인스타그램 사용자들이 트위터, Reddit 등의 소셜 미디어에서 이 기이한 해킹 사건에 대해 신고하기 시작했습니다. 이는 사용자의 계정에 연결 된 이메일 주소를 .ru 도메인의 이메일로 변경함으로써 계정을 탈취하고, 연결 된 페이스북 계정마저 변경 한 것으로 나타났습니다. 피해자들에 따르면, 그들의 인스타그램 계정의 계정 명, 프로필 사진, 패스워드, 이메일 주소 및 연결 된 페이스북 계정이 변경 되었습니다. 또한 이 공격에 영향을 받은 많은 인스타그램 사용..

국내외 보안동향 2018. 8. 17. 17:26