일일 보안이슈

신종 악성코드, Vault 7 Dump 중 7개 이용중

WannaCry 는 2개만 이용했던것과 달리, ShadowsBrokers 가 공개한 NSA 해킹툴 중 7개의 기능을 이용하는 악성코드가 발견됐다. 지난주 이미 WannaCry 외에도 NSA 해킹툴을 사용하는 악성코드가 발견됐지만 이들 또한 EternalBlue 와 DoublePulsar 두 가지만 이용했다. 하지만 ‘sqlmap’ 의 제작자 Miroslav Stampar 에 따르면 EternalRocks 라 명명된 네트워크 웜이 발견됐다고 한다. 이 악성코드는 킬스위치도 없어.
EternalRocks 는 WannaCry와 달리 감염시 은밀하게, 장기간 동작토록 설계됐다. Stampar는 자신의 SMB 허니팟을 통해 알게됐다고. 아래와 같은 취약점을 이용한다.

• EternalBlue — SMBv1 exploit tool
• EternalRomance — SMBv1 exploit tool
• EternalChampion — SMBv2 exploit tool
• EternalSynergy — SMBv3 exploit tool
• SMBTouch — SMB reconnaissance tool
• ArchTouch — SMB reconnaissance tool
• DoublePulsar — Backdoor Trojan

EternalRocks 는 두 단계로 동작한다. 1단계는 Tor 브라우저를 다운받아 다크웹의 토르네트워크에 위치한 C2서버와 통신에 사용한다. 2단계는 자동분석환경 방지를 위해 24시간 뒤 시작 한다. C2 서버는 위에 언급한 7개의 SMB 익스플로잇을 포함한 응답을 보내고 전파를 수행한다. 기사원문

Netgear 라우터, 분석 데이터 수집

Netgear 는 지난주, 자사 무선 라우터모델 NightHawk R7000 의 펌웨어 업데이트를 통해 라우터 자체의 분석데이터를 자사 서버로 송신하는 원격 데이터 수집기능을 추가했다. 현재까진 NightHawk R7000 모델만 해당되지만 앞으로 다른 모델도 추가 업데이트 할 것으로 보인다. 수집하는 분석 데이터는 다음과 같다.

• Total number of devices connected to the router
• IP address
• MAC addresses
• Serial number
• Router’s running status
• Types of connections
• LAN/WAN status
• Wi-Fi bands and channels
• Technical details about the use and functioning of the router and the WiFi network.

비활성화 시키려면 아래의 절차를 따르면 된다. 기사원문

• Launch a web browser from your PC or smartphone that is connected to the network.
• Open the router login window by entering http://www.routerlogin.net.
• Type the router username and password. If you haven’t changed the default settings, your username is admin, and password is password.
• Select Advanced → Administration → Router Update on the Home page.
• Scroll down to the Router Analytics Data Collection section and select the Disable button to disable router analytics data collections.
• Click the Apply button to save your settings.

여담으로 R7000 에 존재하는 Command Injection 취약점 POC

VMware Workstation 취약점 패치

VMware 는 지난주, 리눅스와 윈도우 버젼의 VMware Workstation 에 존재하는 권한상승 취약점과 DoS 취약점을 패치했다. 구글 Project Zero 의 Jann Horn 이 발견한 첫번째 취약점은 (CVE-2017-4915) VMware Workstation Pro 와 Player 12.x(리눅스) 버전에 영향을 끼친다. 나머지는 Borja Merino 가 발견하고 CVE-2017-4916 으로 VMware Workstation Pro, Player 12.x(윈도우)까지 노출된 DoS 취약점이다. 기사원문

WordPress 플러그인 wp-mailinglist, 파일 업로드 취약점

mywordpresssite.com/path/wp-content/plugins/wp-mailinglist/vendors/uploadify/upload.php 에 존재하는 파일 업로드 취약점. mywordpresssite.com/path/wp-content/uploads/wp-mailinglist/FILE_NAME.php 에 업로드 된다(?). POC

HP SiteScope 11.32 RCE 취약점

HP SiteScope 11.32 의 기본설치 상태에서 JMX(Java Management eXtensions)는 미인증 사용자가 28006포트로 접근하는것을 허용한다. 이 설정으로 인해 RCE가 발생할 수 있다. POC

모바일 Tencent 사용자 대상 랜섬웨어

기사원문