Linux 커널 n_hdlc 모듈 권한상승 취약점(CVE-2017-2636) 발견! 최근 리눅스 커널 드라이버인 n_hdlc 모듈 (drivers/tty/n_hdlc.c)에서 레이스컨디션으로 인한 로컬 권한상승 취약점이 발견되었습니다. 이 버그는 2009년 6월 22일 처음 공개되었습니다. https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=be10eb7589337e5defbe214dae038a53dd21add8 취약점 개요 N_HDLC 회선 규칙은 자체제작된 단일 링크드 리스트를 이용하여 버퍼영역의 데이터를 획득합니다. 오류발생 시, n_hdlc.tbuf는 버퍼데이터를 재 전송할 포인터를 가지고 있습니다. 만약 버퍼로의 ..

국내외 보안동향 2017. 3. 9. 14:13

트로이목마에 감염 된 가짜 페이스북 라이트 앱, 사용자 정보 훔쳐Fake Facebook Lite App Infected with Trojan to Steal Users' Info 서드파티 앱 스토어에 존재하는 페이스북 라이트 버전이 악성코드에 감염된 것으로 확인되었습니다. 이 앱은 공식 페이스북이 아니라 중국의 개발자에 의해 개발한 것으로 추정됩니다. 보안 연구원들은 페이스북 라이트 버전은 공식 페이스북 앱 보다 데이터를 적게쓰는 가벼운 버전으로, 실행 시 예상대로 작동하지만 백그라운드에서는 악성행위를 한다고 밝혔습니다. 이 가짜앱은 악성 리시버 (com.google.update.LaunchReceiver)와 서비스(com.google.update.GetInst)를 사용해 구글 업데이트를 우회합니다. ..

국내외 보안동향 2017. 3. 8. 15:52

Struts2 원격코드실행 취약점(CVE-2017-5638,S2-045) 주의! 취약점 내용 Jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점으로, 공격자는 HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드실행을 가능하게 합니다. poc #! /usr/bin/env python# encoding:utf-8import urllib2import sysfrom poster.encode import multipart_encodefrom poster.streaminghttp import register_openersdef poc(): register_openers() datagen, header = multipart_encode({..

국내외 보안동향 2017. 3. 7. 17:22

중국산 게이트웨이에서 Root권한의 백도어 발견!Hidden Backdoor Found in Chinese-Made Equipment. Nothing New! Move Along! 최근 중국기업 DBL Technology에서 생산하는 GoIP GSM 게이트웨이에서 백도어가 발견되었습니다. 이 백도어는 해당 디바이스의 Telnet 서버에 존재하였으며, 해커는 이를 이용하여 인증 메커니즘을 우회하는 취약점을 이용하여 root권한의 shell을 획득할 수 있습니다. 사실 중국산 디바이스에서 백도어가 발견된 것은 이번이 처음은 아닙니다. DBL Technology는 중국 심천에 위치한 통신 디바이스 제조사로, GSM 게이트웨이, 인터넷전화 게이트웨이, 기업에서 사용하는 스위치 등 일반적으로 전화회사 및 VoIP..

국내외 보안동향 2017. 3. 7. 11:38

PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격NEW FILELESS ATTACK USING DNS QUERIES TO CARRY OUT POWERSHELL COMMANDS 최근 DNSMessenger라 불리는 독특한 공격방법이 발견되었는데, 이 공격방법은 악성 PowerShell 명령어를 해킹당한 컴퓨터에서 실행하기 위해 DNS 쿼리를 사용하는 것으로 확인되었습니다. 보안 연구원들은 이 방법이 원격 액세스 트로이 목마가 대상 시스템에 떨어지는 것을 감지하기 어렵게 한다고 밝혔습니다. 이 공격은 조작된 Word문서를 사용자들에게 발송하여 메세지 열람을 위해서 "컨텐츠를 활성화" 하라고 요구함으로써 시작됩니다. 만약 수신자가 공격자의 의도대로 컨텐츠를 활성화 한다면,..

국내외 보안동향 2017. 3. 6. 17:04

RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼ReBreakCaptcha – How to breaking Google’s ReCaptcha v2 using Google’s APIs 최근 보안 연구원이 구글의 reCaptcha V2 인증 시스템을 우회하는 PoC를 고안해 냈습니다. 이 방법은 ReBreakCaptcha라 명명되었습니다. 이 PoC는 구글의 웹기반 툴을 사용합니다. 제작자에 따르면, ReBreakCaptcha를 사용하면 “웹의 어디에서나 구글의 reCaptcha v2를 쉽게 우회할 수 있다.” CAPTCHA 서비스는 한번에 수 천개의 계정들을 등록하는 봇이나 스크립트를 무효화 하기 위해 고안되었으며, ReCaptcha는 이미지, 오디오, 텍..

국내외 보안동향 2017. 3. 3. 17:45

구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해Over 130 Google Play Apps Tried to Infect Users with Windows Malware 최근 공식 구글플레이 마켓에 등록된 132개 앱들이 사용자들에게 윈도우 악성코드 감염을 시도하는것이 확인되었습니다. 7명의 개발자가 만든 이 앱들은 로컬 HTML 페이지에 악성 도메인으로 연결시키는 작은 iframe을 숨겨놓았습니다. 하지만 이 두 조합은 실제로 공존할 수 없습니다. 보안 연구원들에 따르면, 이번 경우 개발자는 사실상 무죄이거나 혹은 비난을 받을 수 없습니다. 이러한 상황은 앱 개발자의 개발 플랫폼이 HTML 페이지를 탐색 후 발견하는 HTML 페이지의 마지막에 악성 컨텐츠를 주입..

국내외 보안동향 2017. 3. 2. 15:28

SHA-1, 더이상 안전하지 않아Announcing the first SHA1 collision HASH 함수는 대량의 데이터를 고정 길이의 의사난수를 생성하는 연산기법으로, 브라우저 보안, 코드 라이브러리 관리, 무결성 체크 등 다양한 방면에서 사용되고 있습니다. 하지만 기술이 발전함에 따라, 몇몇 해쉬함수는 더이상 안전하지 않게 되었습니다. SHA-1은 채택된지 10년만에, 처음으로 취약점이 제기되었습니다. 그 후 CWI Amsterdam과 Google의 공동 연구 끝에 SHA1 해쉬충돌을 성공시켰습니다. 이는 즉 SHA-1은 더이상 안전한 알고리즘이 아니며, 그렇기 때문에 더 이상 사용되면 안된다는 것을 뜻합니다. Google은 몇년동안 SHA-1을 폐기해야 한다고 주장해왔으며, 2014년 Chro..

국내외 보안동향 2017. 2. 27. 14:29