Data leak, phishing security flaws disclosed in Oracle iPlanet Web Server Oracle iPlanet 웹 서버에 영향을 미치는 일부 취약점 정보가 공개되었습니다. CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있습니다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었습니다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할..

국내외 보안동향 2020. 5. 12. 16:30

An Undisclosed Critical Vulnerability Affect vBulletin Forums — Patch Now vBulletin 소프트웨어를 사용 중일 경우 새로 공개된 보안 패치를 설치해 치명적인 취약점을 패치하시기 바랍니다. vBulletin 프로젝트의 관리자는 최근 중요한 패치 업데이트를 공개했지만 이와 관련한 어떤 정보도 공개하지 않았습니다. 이 취약점은 CVE-2020-12720로 등록되었습니다. PHP 프로그래밍 언어로 작성된 vBulletin은 많은 인터넷 포럼과 포춘(Fortune), 대기업 사이트 등을 포함한 인터넷상의 웹사이트 10만 곳 이상에서 사용됩니다. 이 인기 있는 포럼 소프트웨어는 항상 해커의 좋은 타깃이 되어왔습니다. 취약점에 대한 세부 정보를 아직까지 ..

국내외 보안동향 2020. 5. 12. 14:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 코로나19 위기 극복을 위한 정부 지원인 긴급재난지원금 신청이 지난 5월 11일부터 시작되며 많은 관심이 집중되고 있는 가운데, ‘긴급재난지원금 조회 및 안내’를 사칭한 스미싱 공격이 등장했습니다. [그림 1] 정부 긴급재난지원금 사이트로 위장된 피싱 사이트 ESRC에서는 12일 정부 긴급재난지원금 신청 이슈를 노린 스미싱 공격을 확인했습니다. 발견된 스미싱은 11일 오후부터 다수 유포되었으며, 문자 메시지 내용은 스미싱 공격자가 주로 사용하던 택배 사칭 메시지가 그대로 재활용되었습니다. 스미싱 문자에는 ‘주소가 불분명하여 배달이 불가능하다’는 택배 사칭 내용이 적혀있으며, 문자에 첨부된 인터넷 주소(URL)를 클릭하면 공격자가 미리 제작해둔 가..

악성코드 분석 리포트 2020. 5. 12. 13:42

New Thunderbolt security flaws affect systems shipped before 2019 윈도우, 리눅스, MacOS 기기에 물리적으로 접근할 수 있는 공격자가 인텔의 Thuderbolt 하드웨어 인터페이스의 취약점 7개를 악용해 하드 드라이브에 접근하고 데이터를 훔칠 수 있는 것으로 나타났습니다. 이 취약점은 Thunderspy로 알려져 있었습니다. Thunderbolt는 인텔과 애플에서 함께 설계한 하드웨어 인터페이스로, 외부 주변 장치(RAID 배열, 네트워크 인터페이스, 영상 캡처 기기 등)와 컴퓨터를 고속으로 연결할 수 있습니다. Eindhoven University of Technology의 연구원인 Björn Ruytenberg가 발견한 이 공격은 공격자가 Thu..

국내외 보안동향 2020. 5. 12. 09:24

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 5월 10일부터 국내 사용자를 대상으로 Paymen45 랜섬웨어가 대량으로 유포 중이어서 주의가 필요합니다. 해당 랜섬웨어는 정확한 감염경로가 아직 확인되진 않았으나 악성 이메일 첨부파일 또는, 불법SW 크랙버전을 위장하여 유포가 되고 있는 것으로 추정됩니다. 이번에 확인된 Paymen45 랜섬웨어는 현재까지 ESRC에서 발견된 변종을 포함하여 크게 2종류로 확인됩니다.랜섬웨어 기능 자체는 유사하지만, 독특한 점도 몇가지 발견할 수 있었습니다. 일단 초기에 발견된 Paymen45 랜섬웨어의 경우, 크롬 아이콘으로 자신을 위장하고 있습니다. (추가로 발견된 변종의 경우 크롬 아이콘으로 위장하지 않고 있습니다.) [그림 1] 크롬icon으..

악성코드 분석 리포트 2020. 5. 11. 16:33

A hacker group is selling more than 73 million user records on the dark web ShinyHunters라는 해커 그룹이 다크웹에서 사용자 데이터베이스를 판매하며, 이를 회사 10곳에 침투해 얻은 정보라 주장하고 있는 것으로 나타났습니다. 이 해커 그룹은 지난주 인도네시아 최대 온라인 스토어인 Tokopedia를 해킹한 전적이 있습니다. 이들은 초기에 사용자 기록 1,500만 건을 무료로 온라인에 공개했지만, 이후 회사 데이터베이스에 들어있었던 사용자 기록 전체인 9,100만 건을 $5,000에 판매했습니다. Tokopedia를 해킹하여 수익을 벌어들인 후 대담해진 이 그룹은 또다시 회사 10곳의 데이터베이스 목록을 공개했습니다. 이들이 사용자 데이터..

국내외 보안동향 2020. 5. 11. 14:30

Sodinokibi ransomware can now encrypt open and locked files Sodinokibi(REvil) 랜섬웨어가 다른 프로세스가 오픈한 후 잠금 상태인 파일을 암호화할 수 있는 새로운 기능을 추가했습니다. 데이터베이스나 메일 서버와 같은 일부 애플리케이션은 자신이 오픈한 파일을 잠가 다른 프로그램이 수정할 수 없도록 합니다. 이로써 두 프로세스가 동시에 한 파일에 데이터를 써서 데이터가 손상되는 것을 예방합니다. 이러한 이유로, 많은 랜섬웨어가 컴퓨터를 암호화하기 전 데이터베이스 서버, 메일 서버를 포함한 파일을 잠그는 애플리케이션을 종료하려 시도합니다. Sodinokibi, 파일을 잠그는 프로세스 자동으로 종료시켜 많은 랜섬웨어가 파일을 잠그는 것으로 알려진 애플리..

국내외 보안동향 2020. 5. 11. 10:16

Samsung fixes a zero-click issue affecting its phones 삼성전자가 구글 연구원이 발견한 제로클릭 취약점에 대한 패치를 완료했습니다. CVE-2020-8899로 추적되는 해당 취약점은 2014년 이후 판매된 모든 삼성전자 휴대전화에 영향을 미칩니다. 권고에 따르면, Quram qmg 라이브러리에 존재하는 메모리 덮어쓰기 취약점 익스플로잇을 통해 원격 공격자가 임의의 코드를 실행할 수 있습니다. 해당 패치는 메모리 덮어쓰기를 방지하기 위한 적절한 유효성 검사를 추가했습니다. Skia Android 그래픽 라이브러리에 상주하는 해당 취약점은 삼성전자 기기에서 실행되는 안드로이드 OS가 커스텀 Qmage 이미지 포맷(.qmg)을 처리하는 과정에 영향을 미칩니다. 해당 취..

국내외 보안동향 2020. 5. 8. 16:30