일일 보안이슈
Samba 취약점, 리눅스 PC 위협
CVE-2017-7494 로 분류된 이 취약점은 리눅스 기기에 7년동안 알려지지 않은채 남아있던 RCE 취약점. Samba 는 Windows, Linux, UNIX, IBM System 390, OpenVMS 를 포함하여 현재까지도 가장많이 쓰이는 기능(프로토콜)중 하나이다. 주요 기능은 비 윈도우즈 OS 기기에서 윈도우즈 OS 기기와 네트워크를 통한 파일, 프린터 공유를 할 수 있게 해주는 것. 혹자는 리눅스 버전의 EternalBlue 익스플로잇 이라고도 말한다.(EternalBlue 는 WannaCry 배포에 사용된 윈도우 SMB 익스플로잇)
Rapid 7 에 따르면 Shodan1 검색결과, 현재 485,000 대 이상의 기기가 Samba 기능이 켜진채(TCP/445)로 웹에 노출돼있다고 한다. 현재 MSF 코드로 릴리즈된 상태. MSF 를 이용해 쉽게 테스트해볼 수 있다. 영향받는 버전은 Samba 3.5.0 이상, 패치가 릴리즈 됐지만, 패치 과정이 복잡한 리눅스 기기 특성상, 많은 피해가 우려돼. samba.org 발표자료, KISA 보안권고
안드로이드 7.1.2 이하 대상 ‘Cloack and Dagger’ 공격
‘Cloack and Dagger‘이라 명명된 이공격은 버전 7.1.2 이하 모든 종류의 안드로이드 기반 기기를 공격할 수 있다. 공격자는 대상 기기의 모든 제어권한을 갖고 키보드 입력을 포함한 민감정보를 탈취할 수 있다. 이 공격은 어떤 안드로이드 취약점도 공략하지 않는다. 대신 인기있는 일반 정상앱에서 널리 사용되는 합법적 앱 권한을 악용해 안드로이드의 특정 기능에 접근한다. 그 기능은 이것.
- SYSTEM_ALERT_WINDOW (“draw on top”)
- BIND_ACCESSIBILITY_SERVICE (“a11y”)
SYSTEM_ALERT_WINDOW 는 기기화면 최 상단에 출력할 수 있는 권한. “draw on top” 로도 알려져있다. BIND_ACCESSIBILITY_SERVICE 는 신체적 장애가 있는 사람을 위해 음성으로 명령을 입력하거나 음성으로 컨텐츠를 들을 수 있는 기능.
공격은 이런 식으로 이뤄진다. 추가 악성코드를 다운로드받는 기능을 난독화하지 않은상태로, 위의 두 권한을 요구하는 앱에 포함시켜 플레이스토어에 등록한다. 구글은 몇 시간 이내에 이 앱을 승인하고, 플레이스토어에서 다른 정상 앱처럼 다운받을 수 있다.
여기까지만 보면, 악성 앱을 플레이스토어에 다운받아 실행하는것과 차이점을 찾을 수 없지만, 결정적인 차이는 이 앱을 설치하기 전 어떤 권한요구도 없다는 것. 앱을 설치하기 전 안드로이드는 앱의 요구권한을 팝업으로 알리지만, 위의 두 권한은 화면을 잠근다던가, 연락처에 접근하는 등의 주요 권한으로 분류되지 않아(?) 이 과정이 필요치 않다.
시연영상
WannaCry 사용 언어 분석
WannaCry에 쓰인 언어를 분석했을 때 중국과 관련점이 있음이 확인됐다. WannaCry 가 제공한 각 나라별 랜섬노트 등을 분석했을 때 중국어를 제외한 95%의 언어는 번역기를 사용했다. 중국어 도움말을 확인했을 때 제작자는 중국어에 유창하거나 적어도 출생지일 가능성이 큰 것으로 보인다. 하지만 여전히 중국사는 북한사람의 소행인지, 혹은 진짜 중국인인지는 확신할 수 없다. 기사원문
ExploitAlert
WordPress plugins dopts 파일 업로드, POC
Joomla VideoFlow 1.2.0 SQL 인젝션, POC
- IoT 기기 등, 웹에 연결된 기기를 통합 검색할 수 있는 검색서비스 ↩