개요 해당 취약점을 악용하면 Oracle Coherence중 인증되지 않은 공격자가 조작한 T3 프로토콜 request를 허용하여 역직렬화 원격코드실행 취약점을 발생시킨다. 오라클 웹로직 서버(Oracle WebLogic Server): 오라클이 개발한 자바 EE 웹 애플리케이션 서버입니다. 오라클 코히어런스(Oracle Coherence) : 자바 기반의 데이터 그리드 제품으로서, 데이터 캐싱, 데이터 복제, 분산 컴퓨팅 서비스를 제공합니다. 코히어런스는 backing map을 사용하여 데이터베이스 이외의 스토리지에서도 안정적인 서비스를 제공할 수 있게 합니다.자바로 구현되어 있지만, 코히어런스*엑스텐드 콤포넌트를 통해서 .NET이나 C++과의 접속도 가능합니다. 코히어런스 사용 패턴 중 일부는 오픈 ..

국내외 보안동향 2020. 3. 9. 15:28

TrickBot targets Italy using fake WHO Coronavirus emails as bait 새로운 스팸 캠페인이 이탈리아의 사용자들을 공격하고 있습니다. 이는 코로나19(covid19)에 대한 사람들의 관심을 악용하여 TrickBot 인포스틸링 악성코드를 확산시키고 있습니다. 이들은 세계보건기구(WHO)의 의사인 Penelope Marchetti 박사가 보낸 것으로 위장하며 제목은 “Coronavirus: Informazioni importanti su precauzioni.”인 스팸메시지를 보냅니다. Sophos는 “이 이메일에는 감염을 예방하기 위한 조치가 담겨있다고 주장하는 문서가 첨부되어 있습니다. 하지만 이 파일은 무기화된 Word 문서로 새로운 Trickbot 변종을 ..

국내외 보안동향 2020. 3. 9. 14:34

Most of Linux distros affected by a critical RCE in PPP Daemon flaw PPP 대몬 소프트웨어에 존재하는 17년된 치명적인 원격 코드 실행 취약점이 대부분의 리눅스 배포판을 해킹 위험에 노출시키고 있었던 것으로 나타났습니다. US-CERT는 거의 모든 리눅스 기반 OS에 탑재된 PPP 대몬(pppd) 소프트웨어에 존재하는 원격 코드 실행(RCE) 취약점(CVE-2020-8597)에 대해 경고하는 보안 권고를 발행했습니다. pppd 소프트웨어는 전화 접속 모뎀, DSL 연결, 기타 포인트-투-포인트 연결을 통한 인터넷 링크를 만드는데 사용되는 Point-to-Point 프로토콜(PPP) 구현입니다. CVE-2020-8597로 등록된 이 취약점은 스택 버퍼 ..

국내외 보안동향 2020. 3. 9. 08:51

Cisco addresses high severity RCE flaws in Webex Player Cisco가 다양한 제품 내 취약점을 수정하기 위한 보안 업데이트를 발행했습니다. 이 중 2개는 Webex 플레이어에 존재하는 원격 코드 실행 취약점이었습니다. 해당 취약점은 CVE-2020-3127, CVE-2020-3128로 등록되었습니다. 또한 심각도 ‘높음’으로 분류되었으며 CVSS 점수 7.8을 기록했습니다. 이 취약점은 ARF (Advanced Recording Format) 또는 WRF (Webex Recording Format)로 저장된 Webex 레코딩 내 요소를 충분히 검증하지 않아 발생합니다. 원격 공격자는 피해자에게 악성 ARF/WRF 파일을 보낸 후 열도록 속이는 방식으로 이 취약점..

국내외 보안동향 2020. 3. 6. 15:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 수신자 은행 계좌번호가 변경되었음을 알리는 허위 안내서로 사용자의 계정을 노리는 금융 피싱 메일이 발견되고 있어 사용자들의 주의가 필요합니다. [그림 1] 은행 계좌 번호 변경 제목으로 유포된 이메일 화면 해당 메일은 수신자 은행 계좌번호가 변경되었음을 알리는 안내서를 첨부 파일로 추가했습니다. 만약 사용자가 해당 첨부 파일을 다운로드하여 압축 해제하고 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있습니다. [그림 2] 첨부파일 내부 화면 해당 계정 피싱 메일을 받은 사용자가 은행 계좌번호 변경 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행하면 국내 포털 사이트를 가장한 로그인 화면으로 이동됩니다. [그림 3] 첨부 파일 실..

악성코드 분석 리포트 2020. 3. 6. 13:00

PwndLocker Ransomware Gets Pwned: Decryption Now Available Emsisoft에서 피해자가 돈을 지불하지 않고도 새로운 PwndLocker 랜섬웨어로 암호화된 파일을 복호화할 수 있는 방법을 발견했습니다. PwndLocker는 최근 발견된 랜섬웨어이며 전 세계의 조직 및 도시를 노려 암호화한 후 네트워크 크기에 따라 $175,000부터 $660,000 이상의 랜섬머니를 요구합니다. 일리노이 주 라살 카운티(Lasalle County)는 이 랜섬웨어의 공격을 받았으며 공격자들은 50 비트코인($442,000 상당)을 요구했습니다. 세르비아 노비 사드(City of Novi Sad) 또한 공격을 받아 데이터 50TB가 암호화되었습니다. 랜섬웨어에서 취약점 발견돼 E..

국내외 보안동향 2020. 3. 6. 09:25

[3월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [cj대한],무료로 2개의 마스크를 제공.상세 주소지를 확인해주세요.2 한진택배 확인부탁합니다3 [물류 서비스]***님 주문자주소가잘못되었으니다시확인하세요 4 "***서류 접수 완료 되셨습니다. 모바일 신청서 작성해주시기바랍니다. 모바일 신청서 다운 및 설치방법http://****** 링크접속- >하단에 앱다운로드받기->다운완료후2. 화면 상단부분(베터리 표시부분)눌러서 끌어내린후 ***.apk 다운로드 완료 확인-터치3. 터치후 안내문구-설정-출처를 알수없는앱 허용터치 또..

안전한 PC&모바일 세상/스미싱 알림 2020. 3. 6. 08:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. ▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! 비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. [그림 1] 이력서를 위장하고 있는 악성 메일 이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사..

악성코드 분석 리포트 2020. 3. 6. 08:32