Zimbra zero-day vulnerability actively exploited to steal emails Zimbra 이메일 플랫폼의 XSS 취약점이 현재 유럽 언론 및 정부 기관을 노린 공격에 적극적으로 악용되고 있습니다. Zimbra는 인스턴트 메시징, 연락처, 화상 회의, 파일 공유, 클라우드 스토리지 기능을 포함하는 이메일 및 협업 플랫폼입니다. Zimbra에 따르면 140개국 이상의 기업 20만곳 이상에서 이 소프트웨어를 사용하고 있으며, 이 중 1천곳 이상은 정부 및 금융기관인 것으로 나타났습니다. 중국 공격자와 연결돼 연구원들은 아래와 같이 밝혔습니다. "이 글을 작성하는 시점에서 이 익스플로잇은 패치되지 않은 상태이며 CVE 번호가 할당되지 않았습니다.(제로데이 취약점)” "Vo..

국내외 보안동향 2022. 2. 4. 09:00

PayPal addresses reflected XSS bug in user wallet currency converter 페이팔이 약 1년 전인 2020년 2월 19일 사용자 지갑의 환율 계산기 기능에서 발견된 교차 사이트 스크립팅(XSS) 취약점을 수정했습니다. 이 ‘반사(reflected) XSS와 CPS 우회’ 취약점은 버그 바운티 사냥꾼인 “Cr33pb0y”가 발견해 HackerOne 플랫폼을 통해 신고했습니다. PayPal은 이에 대해 아래와 같이 밝혔습니다. “통화 변환을 위해 사용된 한 엔드포인트에서 반사(reflected) XSS 취약점이 발견되었습니다. 이 취약점은 사용자 입력이 파라미터에서 적절히 삭제되지 않아 발생합니다. 이로써 악성 사용자가 악성 JavaScript, HTML 및 ..

국내외 보안동향 2021. 2. 15. 14:00

Meetup fixes security flaws which could have allowed hackers to take over groups 인기 있는 온라인 미팅 서비스 및 이벤트 웹사이트인 Meetup에서 사이버 공격자가 회원 수백만 명의 프로필에 접근할 수 있었던 보안 취약점이 있었던 것으로 나타났습니다. 보안 회사인 Chechmarx의 연구원들은 해당 사이트 내 XSS와 CSRF 취약점을 조합하여 관리자 권한을 얻어 이벤트를 취소하거나 변경하는 것뿐만 아니라 사용자의 정보를 얻거나 페이팔 지불 페이지로 이동시키는 등 사기 행위까지 가능했던 것으로 나타났습니다. 연구원들은 모든 이벤트에 기본으로 활성화되어 있는 Meetup 페이지의 토론 섹션 내 게시물에 악성 스크립트를 주입하는 것도 가능했다고..

국내외 보안동향 2020. 8. 4. 14:30

Citrix Issues Critical Patches for 11 New Flaws Affecting Multiple Products Citrix가 ADC(Citrix Application Delivery Controller), Gateway, SD-WAN WANOP(WAN Optimization edition) 네트워킹 제품의 보안 취약점 11개를 수정하는 보안 패치를 발표했습니다. 인증되지 않은 공격자가 이 치명적인 취약점 악용에 성공할 경우 게이트웨이나 인증 가상 서버에 코드 인젝션, 정보 탈취, DoS 공격 등이 가능해집니다. Citrix는 위에 언급한 문제는 로드 밸런싱 및 콘텐츠 스위칭 가상 서버 등 다른 가상 서버에는 영향을 미치지 않는다고 설명했습니다. 영향을 받은 Citrix SD-WA..

국내외 보안동향 2020. 7. 9. 09:30

Critical RCE Flaw (CVSS 10) Affects F5 BIG-IP Application Security Servers 보안 연구원들이 금일 전 세계 기업 및 정부에 애플리케이션 보안 서버를 사용 중인 F5의 BIG-IP 네트워킹 기기에 존재하는 아주 치명적인 원격 코드 실행 취약점을 즉시 패치할 것을 경고하는 보안 권고를 발표했습니다. CVE-2020-5902로 등록된 이 취약점은 CVSS 점수 10점 만점에 10점을 기록했으며, 원격 공격자가 타깃 시스템 전체를 제어할 수 있어 피해자가 관리하는 애플리케이션 데이터를 감시하도록 허용합니다. 이 취약점을 발견해 F5에 제보한 Positive Technologies의 보안 연구원인 Mikhail Klyuchnikov에 따르면, 문제는 BIG..

국내외 보안동향 2020. 7. 6. 14:30

Data leak, phishing security flaws disclosed in Oracle iPlanet Web Server Oracle iPlanet 웹 서버에 영향을 미치는 일부 취약점 정보가 공개되었습니다. CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있습니다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었습니다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할..

국내외 보안동향 2020. 5. 12. 16:30

Google patches ‘awesome’ XSS vulnerability in Gmail dynamic email feature 구글이 Gmail 내 XSS 취약점을 수정했습니다. 구글 팀은 이 취약점을 ‘어썸’이라 이름 지었습니다. 지난 월요일, Securitum의 보안 연구원인 Michał Bentkowski는 책임 있게 버그 수정이 완료될 때까지 기다린 후 이 취약점을 공개했습니다. Bentkowski는 블로그를 통해 이 보안 취약점은 Gmail이 지난 7월 일반 기능으로 추가한 AMP4Email 기능에 존재한다고 설명했습니다. 동적 이메일로도 알려진 AMP4Email은 이메일에서 코멘트 스레드, 이벤트 초대 등 쉽게 동적 콘텐츠를 표시하기 위해 구현되었습니다. 물론 AMP4Email은 이 기능..

국내외 보안동향 2019. 11. 20. 08:04

Important Flaw in Outlook App for Android Affects Over 100 Millions Users 마이크로소프트가 안드로이드용 아웃룩 앱의 중요한 보안 취약점을 패치하는 업데이트를 공개했습니다. 아웃룩 앱은 현재 1억 명 이상이 사용하고 있는 인기 애플리케이션입니다. 마이크로소프트에 따르면, 앱이 수신하는 이메일 메시지를 파싱하는 방식에 크로스-사이트 스크립팅 취약점(CVE-2019-1105)이 존재하며, 안드로이드용 아웃룩 앱 3.0.88 이전 버전이 해당 취약점에 영향을 받습니다. 이 취약점이 악용될 경우, 원격 공격자가 특수 제작한 메시지를 포함한 이메일을 보내기만 하면 타깃 기기에서 악성 인앱(in-app) 클라이언트 측 코드를 실행할 수 있게 됩니다. ※ 인앱(..

국내외 보안동향 2019. 6. 22. 09:00