WordPress Plugin Used by 300,000+ Sites Found Vulnerable to SQL Injection Attack 최근 30만 이상의 웹사이트에서 사용되고 있는 WP Statistics 플러그인에서 SQL 인젝션 취약점이 발견되었습니다. WP Statistics 플러그인은 사이트 관리자가 홈페이지 방문자수, 페이지 통계 등 사이트 이용자 수와 관련된 자세한 정보를 얻을 수 있도록 도와주는 플러그인입니다. 이번에 발견된 취약점은 사용자의 계정을 가진 공격자가 원격에서 웹사이트의 DB를 접근하고 탈취할 수 있도록 허용하는 SQL취약점입니다. WP Statistics의 SQL 인젝션 취약점은 wp_statistics_searchengine_query()를 포함한 다수의 함수에 존..

국내외 보안동향 2017. 7. 3. 17:38

2017년 5월 19일, ADLab은 Linux 커널 취약점 “Phoenix Talon”을 발견하였으며, 취약점 번호는 CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077로 명명되었습니다. 해당 취약점을 악용하면 원격에서 DoS 공격을 발생시킬 수 있을 뿐만 아니라, 공격조건이 맞으면 원격코드실행공격도 가능합니다. 해당 취약점은 Linux 4.11-rc8버전에서 처음 발견되었으며, 후에 Linux 4.11 stable 버전에서도 동일한 문제가 발견되었습니다. 해당 취약점은 이미 11년 동안 존재한 것으로 확인되었습니다. 영향받는 버전 Linux kernel 2.5.69 ~Linux kernel 4.11 커널 영행받는 오픈소스 버전 Red Hat Enterp..

국내외 보안동향 2017. 7. 3. 13:51

SSL precertificate 이란 CT (Certificate Transparency)의 일부분으로 사용되는 특수한 SSL 인증서입니다. SSL Pre-Certificate와 일반 SSL 인증서와 다른점은, SSL Pre-Certificate는 서버인증 혹은 HTTPS등에 사용되지 않는다는 점입니다. SSL precertificate의 목적은 인증서가 인증서에 직접 삽입되도록 기록하는 것입니다. 즉, precertificate은 정식 인증서 전에 존재하며, 일반 사용자들에게도 거의 노출되지 않습니다. 그렇기 때문에 일반사용자들은 SSL precertificate을 받아도 이 존재자체를 모르는 경우가 많습니다. SSL precertificate은 CT RFC중 정의되어 있습니다. SSL precert..

국내외 보안동향 2017. 7. 3. 10:49

최근 MS오피스 문서가 첨부된 이메일을 통해 Karo 랜섬웨어가 유포되고 있습니다. 초기 공격자는 피해자들에게 수천달러가 청구되었다며 첨부파일을 열도록 유도합니다. 공격자는 기업과 관련된 잘 알려진 이메일 서비스 이용 / 제목과 인사말에 수신자의 이름 넣기 / 큰 금액이지만 비현실적이지는 않은 금액 청구를 통해 사용자의 즉각적인 행동 유도하며 의심을 최소화 합니다. 첨부파일 Karo 이메일에 첨부된 오피스 문서 페이로드는 패스워드로 보호되고 있습니다. 악성 스팸에서 흔한일은 아니지만, 올해 초 몇몇 TrickBot 캠페인에도 패스워드로 보호된 오피스 문서를 이용한적이 있었습니다. 패스워드를 통해 보호하면 백신의 탐지를 보다 쉽게 우회할 수는 있을지 모르겠지만 널리 확산되지 못하기 때문에 감염율이 낮아집니..

국내외 보안동향 2017. 6. 30. 18:36

Your Linux Machine Can Be Hacked Remotely With Just A Malicious DNS Response 리눅스의 Init 프로세스 및 Systemd 프로세스에서 DNS 응답을 통해 원격으로 버퍼 오버플로우를 발생시켜 해커들이 타겟 머신에서 악성 코드를 실행할 수 있도록 허용하는 치명적인 취약점이 발견 되었습니다. 이 취약점은 CVE-2017-9445로 등록 되었으며, 로컬 프로그램들에 네트워크 명 resolution을 제공하는 ‘systemd-resolved’ DNS 응답 핸들러 컴포넌트의 ‘dns_packet_new’ 함수에 존재합니다. 보안 권고문에 따르면, 시스템이 공격자가 제어하는 DNS 서비스에서 호스트명을 검색하려고 시도할 때 특별히 제작 된 악성 DNS 응답..

국내외 보안동향 2017. 6. 30. 15:43

SharePoint에서 XSS 취약점(CVE-2017-8514)이 발견되었습니다. 이 취약점은 패키지 버전 및 온라인 버전에 모두 존재하며, 현재는 모두 패치가 완료되었습니다. PoC는 다음과 같습니다. http|https://?FollowSite=0&SiteName='-confirm(document.domain)-' 독일의 레드먼드매거진에 따르면, SharePoint와 OneDrive는 7.5만명이 넘는 고객이 사용중에 있으며, 1.6억명의 고객을 확보하고 있다고 합니다. SharePoint의 핵심기능은 바로 공유 기능인데, SharePoint가 제공하는 "Follow" 기능을 이용하여 손쉽게 다양한 정보들에 대한 업데이트 내역 확인이 가능합니다. 이때 SharePoint는 다음과 같은 POST req..

국내외 보안동향 2017. 6. 29. 15:50

Turns Out New Petya is Not a Ransomware, It’s a Destructive Wiper Malware 보안 전문가 Matt Suiche가 Petya로 알려진 악성코드를 분석한 결과, 랜섬웨어가 아닌 "와이퍼 악성코드"라는 사실을 발견했습니다. 또한 Petya가 요구하는 $300의 랜섬머니는 컴퓨터를 복원해주는 의도가 전혀 아닌 것으로 밝혀졌습니다. Petya, 랜섬웨어의 실수인가? 아니면 과도하게 똑똑한 탓인가? Petya는 일반적인 랜섬웨어들과는 달리, 대상 시스템의 파일을 하나씩 암호화하지 않습니다. 대신, Petya는 피해자의 컴퓨터를 재부팅하고 하드 드라이브의 마스터 파일 테이블(MFT)을 암호화 하고 마스터 부트 레코드(MBR)를 사용할 수 없는 상태로 만들어서 파..

국내외 보안동향 2017. 6. 29. 10:25

최초 감염 원인 우크라이나의 소프트웨어 벤더인 M.E.Doc가 27일 아침 “당사의 서버가 바이러스 공격을 받고 있다”는 공지를 발행했습니다. 하지만 몇 시간 후, Petya 랜섬웨어가 우크라이나 전체를 넘어 다른 국가에까지 퍼지기 시작하자 M.E.Doc은 페이스북에서 그들의 서버는 어떠한 악성코드도 퍼뜨리지 않았다고 부인하고 있습니다. 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있다는 주장도 있지만, 아직 입증되지는 않고 있습니다. 이 주장이 잠재적으로 사실일 가능성이 있지만, 우크라이나의 수 많은 공공 기관들을 감염시킨 원인은 아닌 것으로 보입니다. ▶ Petya랜섬웨어 대응방법 자세히 보러가기 Petya 랜섬웨어의 특징 Petya는 예전에 Petya라 불..

국내외 보안동향 2017. 6. 28. 15:13