일일 보안이슈

ExploitAlert

Joomla! Component Quiz Deluxe 3.7.4 – SQLi
iball Baton 150M Wireless router – Authentication Bypass
Joomla! Component Joomanager 2.0.0 – Arbitrary File Download
PHP Video Battle Script 1.0 – SQLi

Locky 랜섬웨어 배포하는 거대 스팸메일 활동

최근 AppRiver 의 보안연구원은 Locky 랜섬웨어가 스팸메일을 통해 대량으로 유포중인것을 포착. 무려 2300만건의 이메일이 배포됐고 이는 올 상반기 최대규모. 기사원문

Vault 7 덤프, AngelFire + 위키리크스 디페이스

위키리크스의 Vault 7 CIA 해킹툴 공개가 이어졌다. 이번에 공개된 툴은 AngelFire, WinOS Xp,7 을 대상으로 하고 64bit 호환성이 있어 Win Server 2008 R2 에서도 동작한다. AngelFire 는 5개의 구성요소로 이뤄져있다. 기사원문

1. Solartime – 부트섹터를 수정해 부팅시마다 Wolfcreek 를 실행하는 역할
2. Wolfcreek – self-loading 드라이버, 커널 실행모듈, 유저모드 어플리케이션에 다른 악성 드라이버를 로드하는 역할
3. Keystone – 유저모드 어플리케이션에 파일시스템에 흔적을 남기지 않고 직접 dll 인젝션 하는 역할
4. BadMFS – 감염PC 파일시스템(파티션)에 의존치 않고 독립 저장공간을 만들어 악성 행위에 필요한 드라이버 등을 stealthy 하게 저장하는 역할
5. Windows Trasitory File system – AngelFire을 설치하는 새로운 방식. 디스크에 특정 구성요소(?)를 쓰는 대신 AngelFire 에 파일을 추가/제거 (업데이트?)하는 등의 작업을 위한 임시파일을 사용하는 방식

이와 함께 OurMine 은 위키리크스 웹사이트를 디페이스. 이들은 SNS 에대한 침투테스트를 서비스하는 보안회사라고 스스로 주장하지만, 그걸 광고하는데 실제 계정을 해킹하는 이상한 집단. 웹서버 왜에 주요 정보유출은 없는듯. 기사원문

Gitlab, 세션 하이재킹 버그 수정

세션 하이재킹 버그는 Gitlab 사용자의 private 토큰이 유출될 수 있던 버그. Imperva 의 보안연구원 Daniel Svartman 이 발견. 기술문서 현재는 패치완료. 기사원문

Arris 모뎀에 존재하는 하드코딩된 백도어

AT&T 에서 서비스하는 Arris modem 의 두 기종 NVG589 와 NVG599 에서 하드코딩된 백도어계정 세개가 발견됐다. OEM 제조사인 Arris 에 의한 것인지, ISP 업체인 AT&T U-verse 에 의한 것인지 현재로썬 불명확. 각 백도어에 관한 설명은 아래와 같다.

1. Arris modem 은 기본 SSH 활성화 상태로 판매되는데, remotessh/5SaP9I26 으로 어떤 제품이라도 관리자 권한으로 로그인 가능.
2. 빌트인 웹서버를 통해 모뎀 설정패널을 웹UI로 제공하는데, 49955 포트로 ID:tech PW:없음 으로 관리자 로그인 가능. 또한 이 웹UI 는 커맨드 인젝션 공격에 취약. 모뎀에서 쉘 명령어 실행 가능.
3. 장비 시리얼 넘버를 알고 있는 공격자라면, 61001포트, 계정정보 bdctest/bdctest 로 관리자 접근 가능.

이 외에도 방화벽 우회등의 취약점이 존재. 현재까지 이 취약점들을 익스플로잇 하는 공격은 알려진 바 없다. 기사원문 과 기술문서

워드프레스 플러그인 WooCommerce XSS 취약점 패치

WooCommerce 는 가장 널리 쓰이는 워드프레스 플러그인 중 하나, 모든 온라인 쇼핑몰 중 28% 는 이 플러그인을 사용중. 최근 여기에 존재하던 RXSS 취약점을 업데이트. 2.0.35 버전 이하에 영향. 즉시 패치할것. 기사원문