일일 보안이슈
ExploitAlert
WordPress Contact Form 7 International Sms Integration Plugin XSS
WordPress cool-flickr-slideshow Plugin XSS
Subrion Cms Cross Site Scripting XSS
A2billing 2.x SQLi
Apache Struts 2.5 Remote Code Execution
Python Deserialization 취약점
Deserialize vulnerabilities 란? 대다수의 프로그래밍 언어는 어플리케이션 데이터를 디스크나 네트워크 스트림에 기록하기 위한 내장 기능을 제공하는데, 이 과정을 직렬화/역직렬화(Serialize/Deserialize) 라고 한다. User friendly 형태의 데이터를 디스크나 네트워크 스트림 형태로 바꾸려면 어쨋든 ‘선형’ 데이터가 되야기 떄문. 이 과정에서 발생하는 취약점을 통틀어 (De)siralize 취약점이라 한다.
이 경우엔 PyYAML 에 존재하는 역직렬화 RCE 취약점. POC 및 자세한 분석사항은 여기서 확인할 수 있다.
Dragonfly 2.0 해킹그룹, 유럽, 미국 전력시설 침투
지난 2011년부터 활동해온, 사회기반시설 해킹에 연루된 동유럽 소재의 해킹그룹 Dragonfly 가 여전히 미국과 유럽의 전력기관에 관심을 갖고있는것으로 보인다. 이 공격그룹을 분석한 연구원에 따르면 “the group now potentially has the ability to sabotage or gain control of these systems should it decide to do so” 라고. Symantec 은 이 공격그룹에 대한 새로운 보고서를 발표했고, 주요내용은 다음과 같다. 기사원문
– The hacking group has been active since late 2015 and reportedly using same tactics and tools that were used in earlier campaigns.
– The major objective of the Dragonfly 2.0 group is to collect intelligence and gain access to the networks of the targeted organization, eventually making the group capable of mounting sabotage operations when required.
– Dragonfly 2.0 majorly targeting the critical energy sectors in the U.S., Turkey, and Switzerland.
– Like previous Dragonfly campaigns, the hackers are using malicious email (containing very specific content related to the energy sector) attachments, watering hole attacks, and Trojanized software as an initial attack vector to gain access to a victim’s network.
– The group is using a toolkit called Phishery (available on GitHub) to perform email-based attacks that host template injection attack to steal victim’s credentials.
– Malware campaign involves multiple remote access Trojans masquerading as Flash updates called, Backdoor.Goodor, Backdoor.Dorshel and Trojan.Karagany.B, allowing attackers to provide remote access to the victim’s machine.
초음파를 통한 Siri,Alexa 등 음성인식 개인비서 서비스 해킹
중국 Zhejiang 대의 연구원들은 Siri, Alexa, Google now 등 음성인식 개인비서 서비스가 사람은 인지할 수 없는 초음파 영역의 신호를 들을 수 있다는 점을 이용한 해킹시연을 선보였다. DolphinAttack 이라 명명된 이 기법은 각 제품에 초음파 대역의 음성명령을 전송하는 방식으로 구현. 사람은 들을 수 없기에 공격이 진행되는지 알 수 없다. 기사원문
Equifax 해킹사고
크리덴셜 모니터링 및 ID 도용방지 서비스를 제공하는 Equifax 가 해킹당해 개인정보 143,000,000 건을 유출하는 사고가 발생했다. 이는 전체 인구의 절반에 달하는 수치. 사고는 5~6월사이 발생한것으로 보여, 지난 7월 29일 처음 밝혀졌다. 사건 인지 후 왜 6주나 발표를 미뤘는지 이유는 밝히지 않고있어. 유출데이터에는 이름, 사회보장번호(≒주민번호), 생년월일(143,000,000명 분), 운전면허증 번호, 신용카드 번호(209,000명 분)가 포함. 기사원문
삼성 200,000$ 규모 버그바운티
기본 200$에서 시작. Samsung Mobile Security – Rewards Program, Security Reporting
ShadowBrokers, NSA 해킹툴 추가 공개
현재 정책상 제한된 유료사용자에게만 공개중, 단 무료로 받을 수 있는 툴도 하나 포함돼있는데, UNITEDRAKE 란 툴. UNITEDRAKE 는 윈도우 OS 대상 전체 제어권한을 가질 수 있는 툴. 지난 2014 Edward Snowden 이 언급한 툴과 같은 툴이다. Kaspersky 는 Equiation Group 이란 공격그룹이 사용한 EquationDrug 로 추적하고 있던 툴이기도 해. 기사원문