Apache Struts2 원격코드실행 취약점 주의!(CVE-2017-5638, S2-046) 최근 S2-045 취약점과 유사한 원격코드실행 취약점이 또 다시 발견되었습니다. 취약점 개요 악성 Content-Disposition값 혹은 부적절한 Content-Length 헤더를 이용하여 원격코드를 실행할 수 있는 취약점 입니다. 해당 취약점은 S2-045와 유사하지만, 사용하는 공격 벡터가 다릅니다. CVE 번호 CVE-2017-5638 PoC POST /doUpload.action HTTP/1.1Host: localhost:8080Content-Length: 10000000Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTE..

국내외 보안동향 2017. 3. 21. 16:02

300개 이상의 Cisco 네트워크 스위치 모델에 영향을 미치는 제로데이 발견Disable TELNET! Cisco finds 0-Day in CIA Dump affecting over 300 Network Switch Models 최근 Cisco는 300가지 이상의 스위치 모델에 영향을 미치는 심각한 제로데이 IOS / IOS XE 취약점에 대해 경고했습니다. Cisco는 지난 주 Wikileaks에서 공개한 약 8,761개의 문서 및 파일인 "Vault 7"을 분석하던 중 해당 취약점을 발견하였습니다. 이 취약점(CVE-2017-3881)은 승인되지 않은 원격의 공격자가 기기를 재부팅 시키거나 상승된 권한을 이용하여 원격으로 악성코드를 실행해 기기를 완전히 제어할 수 있는 매우 심각한 취약점 입니다...

국내외 보안동향 2017. 3. 21. 14:45

2100건의 Gmail 계정 및 500만건의 야후 계정이 블랙마켓에서 판매되고 있다.Hacker Selling Over 1 Million Decrypted Gmail and Yahoo Passwords On Dark Web 해외 매체에 따르면 블랙마켓에서 "suntzu583"이라는 아이디를 가진 사용자가 대량의 Gmail, 야후 및 PlayStation계정을 판매하고 있다고 밝혔습니다. 총 4,928,888개의 Gmail계정은 3개의 파일로 분할하여, 한 개의 파일당 2,262,444개씩 판매되고 있으며, 해당 파일 안에는 사용자 이메일 및 사용자의 평문 비밀번호가 포함되어 있습니다. 판매자 suntzu583은 "모든 계정의 비밀번호가 현재까지 유효한 것은 아닙니다"라는 코멘트를 달았습니다. 현재 판매되..

국내외 보안동향 2017. 3. 21. 14:03

모든 윈도우 버전에서 사용자 세션을 탈취할 수 있는 기술 발견 돼New (but Old) Technique Hijacks User Sessions on All Windows Versions 최근 보안연구원이 암호를 모르는 상태에서 컴퓨터의 모든 계정에 로그인 할 수 있는 방법을 발견하였습니아. 이 트릭은 모든 윈도우 버전에서 작동하며, 특별한 권한을 필요로 하지도 않습니다. 이 연구원은 이 것이 윈도우의 기능인지 아니면 보안 결점인지 알 수 없다고 밝혔습니다. 이번에 발견한 공격은 "권한 상승 및 세션 하이재킹"으로, 장치에 물리적으로 접근해 실행할 수도 있지만, 해킹된 장비에서 공격자의 접근 권한을 상승시켜 RDP 세션을 통해서 실행될 수 있습니다. 모든 사용자가 자신들의 권한을 상승시키고 PC에 활성..

국내외 보안동향 2017. 3. 21. 09:00

강한 파괴력을 지닌 Bash Bunny 최근 "세계에서 가장 강력한 USB공격 툴"인 Bash Bunny가 공개되었습니다. Bash Bunny는 각종 침투테스트 및 IT자동화 업무를 단 몇초만에 해 낼 수 있는 툴 입니다. 각종 이더넷 카드, 직렬 장치, 플래시 메모리, 키보드 등의 USB디바이스등을 통하여 Bash Bunny는 PC에 저장되어 있는 각종 데이터, 파일들을 획득할 수 있으며, 백도어 설치 및 각종 exploit을 공격할 수 있습니다. 디바이스는 간단한 스크립트 언어로 제작되었으며, 메모장과 같은 툴을 이용하여 인코딩 되었습니다. 각종 payload 코드는 github에 업로드 되어 있으며, 관련 공격을 검색하는 방법 역시 매우 쉽습니다. Bash Bunny를 통하여 공격하려면, 스위치를 ..

국내외 보안동향 2017. 3. 17. 16:13

CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼Revenge Ransomware, a CryptoMix Variant, Being Distributed by RIG Exploit Kit 최근 RIG 익스플로잇 키트를 통해 배포 되는 CryptoMix 또는 CryptFile2의 변종인 Revenge 랜섬웨어가 발견되었습니다. 이 변종은 또 다른 CryptoMix의 변종인 CryptoShield와 유사하지만, 일부가 수정되었습니다. 보안 연구원들은 해킹 되어 RIG 익스플로잇 키트 자바스크립트가 추가 된 웹사이트에서 Revenge 랜섬웨어가 배포 되고 있는 것을 확인하였습니다. 이렇게 변조된 사이트들을 방문하면 사용자의 동의 없이 Revenge 랜섬웨어가 설치될 수..

국내외 보안동향 2017. 3. 17. 11:28

깃허브 엔터프라이즈(Github Enterprise) 원격코드실행 취약점 분석 최근 Github Enterprise에서 원격코드실행 취약점이 발견되었으며, 이에 해당 취약점은 왜 발생했으며, 어떠한 원리로 동작하는지 분석해 보았습니다. 코드 복호화 처리 Github Enterprise를 내려받으면, VirtualBox 이미지가 함께 포함되어 있습니다. 그리고 사용자는 이것들을 이용하여 자신의 PC에 설치를 할 것입니다. 랜덤으로 이미지를 복구할 때 내부를 분석해 보니, /data 리스트 하위에서 GitHub 코드를 찾을 수 있었습니다. data├── alambic├── babeld├── codeload├── db├── enterprise├── enterprise-manage├── failbotd├── g..

국내외 보안동향 2017. 3. 16. 16:47

왓츠앱과 텔레그램 계정들, 사진 단 한 장으로 해킹 가능해How One Photo Could Have Hacked Your WhatsApp and Telegram Accounts 만약 누군가 왓츠앱이나 텔레그램으로 귀여운 고양이나 매력적인 여성의 사진을 보내면, 이미지를 클릭하기 전에 주의해야 합니다. 이 사진 한장으로 왓츠앱과 텔레그램의 계정을 단 몇 초만에 해킹할 수 있기 때문입니다. 최근 왓츠앱과 텔레그램은 조작된 이미지를 클릭하는 것만으로 사용자의 계정을 탈취할 수 있었던 보안취약점을 패치하였습니다. 이 취약점은 왓츠앱과 텔레그램의 브라우저용에만 영향을 미치며, 모바일 앱에는 아무런 영향이 없는 것으로 확인되었습니다. 보안연구원들의 분석결과에 따르면, 이 취약점은 메시징 서비스가 이미지 내부에 악..

국내외 보안동향 2017. 3. 16. 14:08