Struts2 원격코드실행 취약점(CVE-2017-5638,S2-045) 주의! 취약점 내용 Jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점으로, 공격자는 HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드실행을 가능하게 합니다. poc #! /usr/bin/env python# encoding:utf-8import urllib2import sysfrom poster.encode import multipart_encodefrom poster.streaminghttp import register_openersdef poc(): register_openers() datagen, header = multipart_encode({..

국내외 보안동향 2017. 3. 7. 17:22

중국산 게이트웨이에서 Root권한의 백도어 발견!Hidden Backdoor Found in Chinese-Made Equipment. Nothing New! Move Along! 최근 중국기업 DBL Technology에서 생산하는 GoIP GSM 게이트웨이에서 백도어가 발견되었습니다. 이 백도어는 해당 디바이스의 Telnet 서버에 존재하였으며, 해커는 이를 이용하여 인증 메커니즘을 우회하는 취약점을 이용하여 root권한의 shell을 획득할 수 있습니다. 사실 중국산 디바이스에서 백도어가 발견된 것은 이번이 처음은 아닙니다. DBL Technology는 중국 심천에 위치한 통신 디바이스 제조사로, GSM 게이트웨이, 인터넷전화 게이트웨이, 기업에서 사용하는 스위치 등 일반적으로 전화회사 및 VoIP..

국내외 보안동향 2017. 3. 7. 11:38

PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격NEW FILELESS ATTACK USING DNS QUERIES TO CARRY OUT POWERSHELL COMMANDS 최근 DNSMessenger라 불리는 독특한 공격방법이 발견되었는데, 이 공격방법은 악성 PowerShell 명령어를 해킹당한 컴퓨터에서 실행하기 위해 DNS 쿼리를 사용하는 것으로 확인되었습니다. 보안 연구원들은 이 방법이 원격 액세스 트로이 목마가 대상 시스템에 떨어지는 것을 감지하기 어렵게 한다고 밝혔습니다. 이 공격은 조작된 Word문서를 사용자들에게 발송하여 메세지 열람을 위해서 "컨텐츠를 활성화" 하라고 요구함으로써 시작됩니다. 만약 수신자가 공격자의 의도대로 컨텐츠를 활성화 한다면,..

국내외 보안동향 2017. 3. 6. 17:04

RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼ReBreakCaptcha – How to breaking Google’s ReCaptcha v2 using Google’s APIs 최근 보안 연구원이 구글의 reCaptcha V2 인증 시스템을 우회하는 PoC를 고안해 냈습니다. 이 방법은 ReBreakCaptcha라 명명되었습니다. 이 PoC는 구글의 웹기반 툴을 사용합니다. 제작자에 따르면, ReBreakCaptcha를 사용하면 “웹의 어디에서나 구글의 reCaptcha v2를 쉽게 우회할 수 있다.” CAPTCHA 서비스는 한번에 수 천개의 계정들을 등록하는 봇이나 스크립트를 무효화 하기 위해 고안되었으며, ReCaptcha는 이미지, 오디오, 텍..

국내외 보안동향 2017. 3. 3. 17:45

구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해Over 130 Google Play Apps Tried to Infect Users with Windows Malware 최근 공식 구글플레이 마켓에 등록된 132개 앱들이 사용자들에게 윈도우 악성코드 감염을 시도하는것이 확인되었습니다. 7명의 개발자가 만든 이 앱들은 로컬 HTML 페이지에 악성 도메인으로 연결시키는 작은 iframe을 숨겨놓았습니다. 하지만 이 두 조합은 실제로 공존할 수 없습니다. 보안 연구원들에 따르면, 이번 경우 개발자는 사실상 무죄이거나 혹은 비난을 받을 수 없습니다. 이러한 상황은 앱 개발자의 개발 플랫폼이 HTML 페이지를 탐색 후 발견하는 HTML 페이지의 마지막에 악성 컨텐츠를 주입..

국내외 보안동향 2017. 3. 2. 15:28

SHA-1, 더이상 안전하지 않아Announcing the first SHA1 collision HASH 함수는 대량의 데이터를 고정 길이의 의사난수를 생성하는 연산기법으로, 브라우저 보안, 코드 라이브러리 관리, 무결성 체크 등 다양한 방면에서 사용되고 있습니다. 하지만 기술이 발전함에 따라, 몇몇 해쉬함수는 더이상 안전하지 않게 되었습니다. SHA-1은 채택된지 10년만에, 처음으로 취약점이 제기되었습니다. 그 후 CWI Amsterdam과 Google의 공동 연구 끝에 SHA1 해쉬충돌을 성공시켰습니다. 이는 즉 SHA-1은 더이상 안전한 알고리즘이 아니며, 그렇기 때문에 더 이상 사용되면 안된다는 것을 뜻합니다. Google은 몇년동안 SHA-1을 폐기해야 한다고 주장해왔으며, 2014년 Chro..

국내외 보안동향 2017. 2. 27. 14:29

CloudFlare를 사용하는 수 백만 사이트들에서 중요 정보를 유출하는 심각한 버그 발견 Serious Bug Exposes Sensitive Data From Millions Sites Sitting Behind CloudFlare 컨텐츠 전송 네트워크(CDN)이자 웹 서비스 제공자인 CloudFlare에서 심각한 보안 취약점이 발견 되었습니다. Cloudbleed라 명명 된 이 심각한 버그는 2014년 발견 된 Heartbleed를 따서 명명되었으나, Heartbleed보다 더욱 심각합니다. 이 취약점은 CloudFlare 네트워크상의 웹사이트들 뿐 아니라 모바일 앱들에도 영향을 미치는 것으로 확인되었습니다. Cloudbleed란? 1주일 전 Google Project Zero의 보안 연구원인 Ta..

국내외 보안동향 2017. 2. 27. 10:19

11년 된 리눅스 커널 로컬 권한 상승 취약점 발견11-Year Old Linux Kernel Local Privilege Escalation Flaw Discovered Redhat, Debian, OpenSUSE, Utuntu를 포함한 주요 리눅스 OS 배포판들에 영향을 미치며 2005년부터 존재해 온 권한 상승 취약점이 리눅스 커널에서 발견되었습니다. 최근 보안연구원은 구글이 공개한 커널 퍼징 툴인 Syzkaller를 사용해 DCCP(Datagram Congestion Control Protocol) 실행 과정에서 10년 이상 된 Linux 커널 버그 (CVE-2017-6074)를 발견했습니다. 이 취약점은 use-after-free 결점입니다. IPV6_RECVPKTINFO 옵션이 소켓에 설정 되..

국내외 보안동향 2017. 2. 24. 11:12