Zend Framework remote code execution vulnerability revealed 이번 주, Zend Framework에서 신뢰할 수 없는 역직렬화 취약점을 공개했습니다. 공격자가 이 취약점을 악용할경우 PHP 사이트에서 원격 코드 실행이 가능한 것으로 나타났습니다. 이 취약점은 CVE-2021-3007로 등록되었으며, Laminas Project의 일부 인스턴스에도 영향을 미칠 수 있습니다. Zend Framework는 5.7억회 이상 설치된 PHP 패키지로 구성되어 있습니다. 해당 프레임워크는 객체 지향 웹 애플리케이션을 빌드하는데 사용됩니다. 신뢰할 수 없는 역직렬화에서 원격 코드 실행까지 보안 연구원인 Ling Yizhou는 이번 주 Zend Framework 3.0.0에..

국내외 보안동향 2021. 1. 5. 14:15

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 27일~01월 02일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 68건이고 그중 악성은 29건으로 42.65%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 35건 대비 29건으로 6건이 감소했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 21건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 29건 중 Attach-Malware형이 55.2%로 가장 많았고 뒤이어 Link-Malware형이 20..

악성코드 분석 리포트 2021. 1. 5. 09:30

Malware uses WiFi BSSID for victim identification 악성코드 운영자는 자신이 감염시키는 피해자의 지리적 위치를 알아내기 위해 보통 피해자의 IP 주소를 수집해 MaxMind의 GeoIP와 같은 IP-to-geo 데이터베이스에서 확인하는 방법을 사용합니다. 이 기술의 정확도가 매우 높은 편은 아니지만, 컴퓨터에서 찾은 데이터를 기반으로 사용자의 실제 물리적 위치를 알아내는 가장 신뢰할 수 있는 방법 중 하나입니다. 하지만, SANS Internet Storm Center의 보안 연구원인 Xavier Mertens는 지난달 블로그 게시물에서 첫 번째 기술 후 두 번째 기술을 추가로 사용하는 새로운 악성코드 변종을 발견했다고 밝혔습니다. 이 두 번째 기능은 감염된 사용자의..

국내외 보안동향 2021. 1. 5. 09:11

SolarWinds hackers accessed Microsoft source code SolarWinds 공급망 공격을 실행한 해커들이 마이크로소프트의 내부 네트워크에 접근해 내부 계정 일부에 대한 접근 권한을 얻어, 이를 사용하여 마이크로소프트의 소스코드 저장소에 접근한 것으로 나타났습니다. 마이크로소프트는 해커가 코드를 열람할 권한만을 가지고 있었기 때문에 접근했던 저장소의 내용을 변경하지는 못했다고 해명했습니다. 이 사고는 마이크로소프트에서 SolarWinds 사건을 내부적으로 조사하던 중 발견되어 블로그를 통해 공개되었습니다. 마이크로소프트는 공격자가 일부 소스코드를 열람한 것은 사실이지만, 제작 시스템, 고객 데이터에 접근하거나 마이크로소프트 제품을 통해 고객을 공격하지는 않았다고 밝혔습니다..

국내외 보안동향 2021. 1. 4. 14:00

Secret Backdoor Account Found in Several Zyxel Firewall, VPN Products Zyxel이 펌웨어 내 문서화되지 않은 하드코딩된 비밀 계정으로 인해 발생하는 치명적인 취약점을 수정하는 패치를 공개했습니다. 공격자가 이를 악용할 경우 관리자 권한이 있는 계정으로 로그인 해 네트워킹 기기를 해킹할 수 있게 됩니다. CVE-2020-29583 (CVSS 점수 7.8)로 등록된 이 취약점은 USG(Unified Security Gateway), USG FLEX, ATP, VPN 방화벽 제품을 포함한 다양한 Zyxel 기기에 설치된 펌웨어 버전 4.60에 존재합니다. EYE의 연구원인 Niels Teusink는 지난 11월 29일 Zyxel에 해당 취약점을 제보했으며..

국내외 보안동향 2021. 1. 4. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 북한 연계 해킹조직으로 알려진 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐습니다. 탈륨 조직은 최근까지 '블루 에스티메이트(Blue Estimate)' 등 주로 (스피어) 피싱 공격을 주로 사용합니다. 물론 과거에도 공급망 공격을 수행한 경우가 존재하는데, 2020년 10월 16일 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례가 있습니다. 메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐습니다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 ..

악성코드 분석 리포트 2021. 1. 3. 21:28

T-Mobile data breach exposed phone numbers, call records T-Mobile이 전화번호 및 통화기록을 포함한 고객의 사유 망 정보 (CPNI)를 노출시키는 데이터 유출이 발생했다고 발표했습니다. T-Mobile은 12월 29일부터 고객에게 “보안 사고”로 인해 계정 정보가 유출되었다는 문자 메시지를 보내기 시작했습니다. T-Mobile에 따르면, 보안 팀은 최근 시스템에서 “승인되지 않은 악의적인 접근”을 발견했습니다. 사이버 보안 회사를 통한 조사를 마친 후, T-Mobile은 공격자가 고객이 생성한 통신 정보인 CPNI에 대한 접근 권한을 얻었다는 것을 발견했습니다. 이 사고로 인해 노출된 정보에는 전화번호, 통화 기록, 계정의 회선 수 등입니다. T-Mobi..

국내외 보안동향 2020. 12. 31. 14:00

New worm turns Windows, Linux servers into Monero miners 12월 초부터 윈도우와 리눅스 서버에 XMRig 가상화폐 채굴기를 활발히 확산시키는 자가 확산 Golang 기반 악성코드가 발견되었습니다. Intezer의 보안 연구원인 Avigayil Mechtinger에 따르면, 이 멀티플랫폼 악성코드는 브루트포싱을 통해 취약한 패스워드로 보호된 인터넷에 연결된 다른 시스템에(MySQL, Tomcat, Jenkins, WebLogic) 확산되는 웜 기능 또한 포함하고 있었습니다. 이 캠페인의 배후에 있는 공격자들은 이 악성코드가 처음 발견된 이래로 명령 및 제어 서버를 통해 지속적으로 웜 기능을 업데이트하고 있었습니다. 이는 공격자가 해당 악성코드를 적극적으로 관리한..

국내외 보안동향 2020. 12. 31. 09:16