Code Execution Bug Affects Yamale Python Package — Used by Over 200 Projects 23andMe의 YAML의 스키마 및 유효성 검사기인 Yamale에서 심각도 높은 코드 주입 취약점이 발견되었습니다. 공격자는 임의 파이썬 코드를 실행하는데 이 취약점을 쉽게 악용할 수 있습니다. CVE-2021-38305(CVSS 점수: 7.8)로 등록된 이 취약점은 보호를 우회하여 코드를 실행하기 위해 툴에 입력으로 제공된 스키마 파일을 조작하는 작업을 포함합니다. 특히, 이 이슈는 전달된 모든 입력을 평가 및 실행할 수 있는 스키마 구문 분석 기능에 존재하여 결과적으로 스키마 내에서 특수 제작된 문자열이 시스템 명령어 주입에 악용되는 결과를 낳을 수 있습니다. Y..

국내외 보안동향 2021. 10. 8. 14:00

Microsoft fixes bug blocking Azure Virtual Desktops security updates 마이크로소프트는 7월 초부터 WSUS(Windows Server Update Services)를 통해 월별 보안 업데이트를 다운로드 및 설치하는 일부 Azure Virtual Desktops(AVD) 장치를 차단하는 취약점을 수정했습니다. 이는 Windows 업데이트 설정 아래의 설정 앱에서 관찰되며, 2021년 5월 이후의 업데이트가 설치되지 않은 경우에도 '최신 상태입니다'라는 메시지가 표시됩니다. 해당 취약점은 클라이언트(Windows 10 Enterprise 다중 세션, 버전 1909) 및 서버(Windows Server 다중 세션, 버전 1909) 플랫폼 모두에 영향을 미칩..

국내외 보안동향 2021. 10. 8. 11:30

U.S. govt to sue contractors who hide breach incidents 미국 법무부가 금일 발표한 새로운 민간 사이버 사기 법안에 따라, 침해 사고를 보고하지 않거나 필수 사이버 보안 표준을 지키지 않는 정부 계약자는 민사 법원에서 책임을 지게 되었습니다. 이 법안은 미 법무부가 연방 기관의 협력 업체들로 인해 발생하는 민감 정보 및 중요 시스템을 노리는 디지털 위협에 맞서 싸우는데 영향력을 행사할 수 있도록 합니다. 방어력 강화 법무 차관인 Lisa O. Monaco는 이 법안을 통해 법무부가 침해 사고를 보고하지 않거나 사이버 보안 표준을 지키지 않는 정부 계약자를 추적할 수 있다고 밝혔습니다. 민사부의 상업소송부, 사기부에서 추진하는 이 법안은 부정 청구 방지법(FCA)을..

국내외 보안동향 2021. 10. 8. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 네이버를 위장한 피싱 메일이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 네이버를 위장한 피싱 메일은 다양한 내용으로 유포중에 있으며, 제목은 다음과 같습니다. 새로운 환경에서 로그인 되었습니다. 새로운 환경에서 접속이 시도되었습니다. 새로운 환경에서 접속시도가 차단되었습니다. 새로운 기기에서 로그인이 시도되었습니다. 새로운 기기에서 접속이 시도되었습니다. 새로운 기기 로그인 알림 기능이 해제되었습니다. 새 인증서를 확인해 주세요 메일함 용량이 초과되었습니다. 일회용 로그인 번호에 의한 접속이 시도되었습니다. 등록되지 않은 기기에서 접속이 시도되었습니다. 해외지역에서 접속시도를 차단하였습니다. 차단한 해외 지역에서 로그인이 시도되었습니다. 로그인..

악성코드 분석 리포트 2021. 10. 7. 16:27

Multiple Critical Flaws Discovered in Honeywell Experion PKS and ACE Controllers 미 CISA 측에서 지난 화요일 Honeywell Experion Process Knowledge System C200, C200E, C300 및 ACE 컨트롤러의 모든 버전에 영향을 미치는 다수의 취약점에 대한 권고를 발표했습니다. 이 취약점을 악용할 경우, 원격 코드 실행 및 서비스 거부(DoS) 조건을 유발할 수 있습니다. 하니웰은 올 2월 초 보안 공지를 통해 "악성 공격자가 CCL(Control Component Library)을 수정한 후 컨트롤러에 로드해 컨트롤러가 해당 악성코드를 실행할 수 있었다"라고 밝혔습니다. 이 취약점은 산업 사이버 보안 회..

국내외 보안동향 2021. 10. 7. 14:00

Canopy Parental Control App Wide Open to Unpatched XSS Bugs 온라인에서 어린이를 보호하기 위한 다양한 기능을 제공하는 자녀 보호 앱인 Canopy에서 취약점이 발견되었습니다. Canopy는 자녀가 사용하는 응용 프로그램 및 웹사이트에서 음란 채팅 방지, 이미지 필터링을 통한 기기 내 사진 보호, 스크린 타임 모니터링, 부모를 위한 자녀 통신 알림, 부적절한 웹사이트를 제거하기 위한 스마트 콘텐츠 필터링, 부모를 위한 원격 기기 관리 및 제어 기능을 제공합니다. XSS 공격에 취약한 Canopy Canopy는 다양한 XSS 공격에 취약한 것으로 나타났습니다. XSS 공격은 악성 스크립트가 그렇지 않은 경우 신뢰할 수 있는 웹 사이트에 주입될 때 발생합니다. 이..

국내외 보안동향 2021. 10. 7. 11:25

Massive Twitch hack: Source code and payment reports leaked 트위치의 소스코드와 스트리머 및 사용자의 민감 정보가 온라인에 유출된 것으로 나타났습니다. 한 익명 사용자가 4chan 이미지 보드에 해당 데이터를 업로드했습니다. 해당 사용자는 트위치의 내부 Git 저장소 약 6,000곳에서 훔친 것으로 의심되는 데이터 125GB가 포함된 압축파일로 연결되는 토렌트 링크를 공개했습니다. “이 온라인 영상 스트리밍 공간에 더 많은 혼란과 경쟁을 조장하기 위해, 우리는 이를 완전히 해킹했습니다. 그리고 첫 번째로 내부 Git 저장소 약 6,000곳의 소스코드를 공개합니다.” 이 4chan의 익명 사용자에 따르면, 유출된 트위치 데이터는 아래와 같습니다. - 초기부터 ..

국내외 보안동향 2021. 10. 7. 09:00

The Telegraph exposes 10 TB database with subscriber info 영국 최대 신문사이자 온라인 매체 중 하나인 Telegraph의 데이터베이스 중 하나가 제대로 보호되지 않아 데이터 10TB가 유출되는 사고가 발생했습니다. 노출된 정보에는 내부 로그, 전체 가입자 이름, 이메일 주소, 기기 정보, URL 요청, IP 주소, 인증 토큰, 고유한 독자 식별자가 포함됩니다. 보안 연구원인 Bob Diachenko는 지난 9월 14일 보호되지 않은 데이터 셋을 발견했으며 당시 암호화되지 않은 연락처에 최소 1,200건에 비밀번호 없이도 접근이 가능함을 확인했습니다. 특히, 이들 중 다수는 Apple News 구독자 정보에도 영향을 미치며 비밀번호를 평문 상태로 포함하고 있었..

국내외 보안동향 2021. 10. 6. 14:00