일일 보안이슈
ExploitAlert
ebattery Admin Login bypass
Sophos Web Appliance reporting JSON trafficType Remote Command Injection
Barracuda Load Balancer Firmware <= v6.0.1.006 PostAuth remote root exploit
Belkin NetCam F7D7601 RCE
원격해킹에 여전히 취약한 7만여대의 Memcached 서버
Cisco Talos 는 최근 세 개의 치명적인 Memcached 서버 RCE 취약점을 발표한 바 있다. Memcached 에 의해 노출된 취약점들은 Facebook, Twitter, Youtuve, Reddit 등 메이저 사이트에서도 보였었다.(과거기사) Memcached 는 쉽게 배포가능한, 서버측에서 오브젝트들을 디스크가 아닌 메모리에 저장해 캐싱할 수 있게 해주는 오픈소스 캐싱 시스템. php 기반 웹사이트와 같이, 잦은 쿼리를 통해 동적 컨텐츠를 보여주는 시스템에서 작업을 더 빠르게 처리할 수 있도록 설계됐다.
Memcached 개발자가 이 취약점들(CVE-2016-8704, CVE-2016-8705, CVE-2016-8706)에 대해 패치를 배포한지는 벌써 거의 8달이 지났다. 하지만 여전히 수만대의 서버가 취약점에 노출된 상황. Cisco Talos는 웹에 노출된 서버들에 대해 2월과 7월에 취약점 스캐닝을 실시하였고, 다음과 같은 결과를 얻었다.
2월 외부접근 가능 시스템 수 : 107,786
2월 미패치 시스템 : 85,121
2월 미패치 시스템(접근위해 인증필요) : 23,7077월 외부접근 가능 시스템 수 : 106,001 (-1785)
7월 미패치 시스템 : 73,403 (-12282)
7월 미패치 시스템(접근위해 인증필요) : 18,012 (-5695)
거의 8달이 지났음에도 5개월간 패치된 시스템의 비율은 1:0.78 에서 1:0.69 로 별반 차이가 없음.
“If left unaddressed the vulnerabilities could be leveraged to impact organisations globally and affect business severely. It is highly recommended that these systems be patched immediately to help mitigate the risk to organisations.”
원격해킹 가능한 IoT기기의 위험성
IoT 기기에서 많이 사용되고, 메이저 IoT 제작사에서도 사용하는 오픈소스 소프트웨어 개발 라이브러리에서 취약점이 발견. 수백만 대의 기기가 취약한채 남아있다. CVE-2017-9765 는 IoT 보안을 연구하는 Senrio가 발견, gSOAP toolkit(Simple Object Access Protocol, XML Web, XML app 개발을 위한 C/C++ auto-coding tool) 이라는 소프트웨어 개발 라이브러리에서 발생한다. Devil’sIvy 라 명명된 이 취약점은 BOF 로 인해 원격의 공격자가 SOAP 웹서비스 데몬을 충돌시키고, 악성코드를 해당 디바이스에서 실행할 수 있는 취약점. 현재까지 테스트한 취약한 기기목록 전체는 여기서 확인 가능. 테스트 한 기기외에도 이 취약점이 적용되는 기기는 매우 많을것.
gSOAP 개발사 Genivia 는 2017년 6월 21일 자로 패치를 배포했으나 한 번 설치하고 신경끄는 IoT 기기 특성상 여전히 많은 기기가 취약할 것으로 예상된다. 기사원문
SambaCry 취약점, NAS 기기 대상 백도어 배포에 사용
누군가 SambaCry 취약점(CVE-2017-7494 ) 을 오래된 버전의 Samba 파일공유 서비스를 사용하는 리눅스 시스템에 백도어를 설치하기 위해 사용중인것을 발견했다. Trend Micro는 대부분의 공격이 이기종간 파일공유를 위해 Samba를 기본 제공하는 NAS 기기를 대상으로 이뤄지고있다 밝혔다.
유포되는 백도어는 SHELLBIND 라 명명. Trend Micro 의 분석보고서에 따르면 이 백도어는 61422 번 포트를 열어두고, 169.239.128.123:80 으로 주기적 핑을 보내기에 일차적으로 이를 통해 감염을 의심해 볼 수 있다. SHELLBIND 의 쉘은 하드코딩된 비밀번호로 보호된다. 비밀번호는 Q8pGZFS7N1MObJHf 이다. 기사원문. CVE-2017-7494.
관련샘플1
관련샘플2
관련샘플3
FireBall 더이상 애드웨어로 볼 수 없어
FireBall은 기본 검색 엔진과 홈페이지를 가짜 검색 엔진으로 바꿔 검색어를 야후나 구글로 리다이렉션해 수익을 얻는 브라우저 하이재커(애드웨어). 이런 행위를 강화하기(?) 위해 사용자 동의 없이 플러그인과 추가 구성들을 설치하는데 이 과정이 악성 코드와 매우 유사한 것으로 밝혀져. 또한 내부적으로 다운로더의 기능을 가지고 있어 언제든 악성코드 다운로더로 변형될 수 있다. 기사원문
FedEx, NotPetya Ransomware의 피해 복구가 불가능할지도
NotPetya 공격에 영향을 받은 글로벌 기업 중 하나, 과거 WannaCry Ransomware 공격에 피해 경험도 가지고 있다. 기사원문
