Fortinet FortiWeb OS Command Injection allows takeover servers remotely 2021년 8월 17일 Fortinet이 FortiWeb WAF 설치를 실행하는 서버를 완전히 제어할 수 있는 명령 주입 취약점을 수정했으며 8월 말에 출시할 계획이라 밝혔습니다. 인증된 공격자는 SAML 서버 구성 페이지를 통해 기본 시스템에서 루트 사용자로 임의의 명령을 실행할 수 있습니다. 전문가들은 이 취약점이 공격자가 허용할 수 있는 인증 우회 취약점(CVE-2020-29015)과 연결될 수 있다고 지적했습니다. 이 취약점은 Fortinet FortiWeb 버전 6.3.11 및 이전 버전에 영향을 미치며 인증된 공격자는 이 취약점을 악용하여 취약한 버전의 FortiWe..

국내외 보안동향 2021. 8. 18. 11:40

Kalay cloud platform flaw exposes millions of IoT devices to hack FireEye Mandiant의 연구원들이 Kalay 클라우드 플랫폼 내 핵심 컴포넌트에서 IoT 기기 수백만 대에 영향을 미치는 치명적인 취약점인 CVE-2021-28372를 발견했습니다. 원격 공격자는 이 취약점을 쉽게 악용해 IoT 기기의 제어권을 탈취할 수 있으며, 공격에 필요한 유일한 정보는 타깃 사용자의 UID입니다. 공격자는 이 UID를 소셜 엔지니어링 기법을 통해 얻어낼 수 있습니다. Mandiant에서는 아래와 같이 설명했습니다. “이 글에 설명된 취약점은 Kalay 플랫폼의 핵심 컴포넌트에 영향을 미칩니다. Mandiant는 영향을 받는 기기 전체 목록을 만들 수는 없었..

국내외 보안동향 2021. 8. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 08일~08월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 92건이고 그중 악성은 44건으로 47.83%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 32건 대비 44건으로 12건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 28건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 44건 중 Attach-Malware형이 61.4%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 8. 17. 15:31

T-Mobile confirms data breach that exposed customer personal info T-Mobile이 1억 명이 넘는 미국 고객의 개인정보가 노출된 데이터 유출 사고를 확인했습니다. 하루 전, 회사는 한 해커가 고객의 개인 데이터를 판매한다고 주장하는 포럼 게시물을 확인한 후 데이터 유출 가능성에 대한 조사를 시작했다고 발표했습니다. 해당 소식은 Motherboard에서 보도하였으며, 게시물에는 T-Mobile이 언급되어 있지 않았지만 판매자는 1억 명 이상의 T-Mobile 고객의 개인 데이터를 얻었다고 밝혔습니다. 판매자는 Motherboard에 T-Mobile과 관련된 여러 서버를 해킹해 해당 데이터를 얻었다고 밝혔습니다. 판매자는 해당 정보에 SSN, 전화번호, ..

국내외 보안동향 2021. 8. 17. 14:00

Ford의 서버에서 실행되는 Pega Infinity 고객 참여 시스템에서 정보 노출 취약점이 발견되었습니다. 이 취약점을 악용할 경우 공격자는 시스템에 액세스하고 고객 데이터베이스, 직원 기록, 내부 티켓과 같은 독점 데이터를 얻을 수 있습니다. CVE-2021-27653으로 등록된 해당 취약점은 윤리적 해킹 그룹 Sakura Samurai의 연구원들에 의해 발견되었으며 HackerOne 취약점 공개 프로그램을 통해 Ford에 보고되었습니다. 하지만 Ford는 특정 보안 관련 조치에 대해 언급하지 않았았으며, 특정 공격자가 Ford의 시스템을 침해하기 위해 취약점을 악용했는지 또는 민감한 고객/직원 PII에 액세스했는지는 알려지지 않았습니다. 취약점 번호 CVE-2021-27653 취약한 버전 Pega..

국내외 보안동향 2021. 8. 17. 11:53

ProxyShell이란 Microsoft Exchange에 존재하는 3가지 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)을 뜻합니다. ProxyShell 취약점을 악용하면 원격에서 서버를 제어할 수 있고, 임의 코드 실행이 가능합니다. PoC와 Exploit이 이미 공개되었고, 공격자들도 현재 해당 취약점을 악용하고 있는 것으로 확인되어 보안 담당자들의 빠른 업데이트를 권고합니다. 영향받는 버전 Microsoft Exchange Server 2010/2013/2016/2019 패치방법 보안 업데이트 CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 참고 : https://msrc.microsoft.com/update-guide/..

국내외 보안동향 2021. 8. 17. 11:00

SynAck ransomware releases decryption keys after El_Cometa rebrand SynAck 랜섬웨어 그룹이 El_Cometa 그룹으로 리브랜딩한 후 마스터 복호화 키를 공개한 것으로 나타났습니다. 랜섬웨어가 파일을 암호화할 때, 보통 피해자의 기기에 암호화 키를 생성한 후 마스터 암호화 키를 사용하여 해당 키를 암호화합니다. 암호화된 키는 암호화된 파일 또는 랜섬노트 내부에 포함되어 있으며, 랜섬웨어 운영자가 가지고 있는 마스터 복호화 키(개인키)를 통해서만 복호화가 가능합니다. SynAck 랜섬웨어는 마스터키, 복호화 툴, 마스터키 사용 매뉴얼을 자신의 유출 사이트 및 사이버 보안 뉴스 사이트인 TheRecord 측에 공유했습니다. TheRecord는 키를 받은..

국내외 보안동향 2021. 8. 17. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국내 포털사이트의 신규 인증서를 확인하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "[인증서] 새 인증서를 확인해 주세요” 라는 제목이 사용되었으며, 최근 코로나19 예방접종 사전예약 시스템에서 본인인증 방법의 일환으로 네이버 인증서가 사용되기 때문에 이를 노린 사회공학적 기법 피싱 메일입니다. 사용자가 인증서를 확인하기 위해 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱 사이트에 입력한 사용자의 계정 / 패스워드는 아래 공격자 서버로 전달됩니다. - 개인정보 피싱 및 수집 사이트 hxxp://nidlogin.great-site[.]net/?ref= hxxp://nidlogin.gr..

악성코드 분석 리포트 2021. 8. 13. 19:19