두루안 블로그

[보안뉴스] 2018년 11월 2주 동향 본문

IT소식

[보안뉴스] 2018년 11월 2주 동향

두루안 2018. 11. 15. 17:01

 

The Hackers News 발췌 분

 

StatCounter Analytics Code Hijacked to Steal Bitcoins from Cryptocurrency Users (2018-11-08)

l  지난 주말 알려지지 않은 해커 또는 해커 그룹이 비트코인을 훔치려는 목적으로 사용중인 웹 분석 서비스를 손상시켰습니다.

l  StatCounter 서비스를 사용하여 수십만 개의 웹사이트에 악성코드가 주입되었지만 웹페이지의 URL 이나 콘텐츠에 특정 URI인 “myaccount/withdraw BTC”가 포함되어 있을 때만 스크립트가 활성화됩니다.

l  Gate.io는 고객에게 이중 인증 및 2단계 로그인 보호를 가능하게 하여 계정의 보안수준을 극대화 할 것을 촉구했습니다.

l  뉴스보기

Unpatched VirtualBox Zero-Day Vulnerability and Exploit Released Online (2018-11-07)

l  취약성 연구원은 오라클이 개발한 Virtualbox의 최신 버전인 5.5.20과 이전 버전 모두에 영향을 미치는 제로 데이 취약점을 공개했습니다. 이 취약점으로 인해 악성 프로그램이 가상 머신을 벗어나 호스트 OS에서 코드를 실행 할 수 있습니다.

l  이 취약점은 메모리 손상 문제로 인해 발생 하고 네트워크 모드가 NAT으로 설정된 경우 가상NIC인 “Intel PRO/1000MT Desktop(82540)"에 영향줍니다.

l  패치가 적용 될때까지 사용자는 가상컴퓨터의 네트워크 어댑터 종류를 “PCnet” 또는 “반가상화 네트워크”로 변경하여 잠재적인 사이버 공격으로부터 자신을 보호 할 수 있습니다.

l  뉴스보기

New Intel CPU Flaw Exploits Hyper-Threading to Steal Encrypted Data (2018-11-03)

l  Intel CPU에서 심각한 사이드 채널 취약성이 발견되었습니다. 동일한 CPU 코어에서 실행중인 다른 프로세스의 동시 멀티 스레딩 기능이 사용될 때 발생하여, 공격자가 비밀번호 및 암호키와 같은 민감한 보호 데이터를 스니핑할 수 있게 합니다..

l 이 취약점은 PortSmash라 명명되었고, CVE-2018-5407 코드를 가집니다. 이 취약점은 지난 한 해 동안 발견된 Meltdown, Spectre, TLBleed, Foreshadow 와 같이 위험한 사이드채널 취약점 목록에 추가되었습니다.

l  PortSmash 취약점의 간단한 조치는 인텔이 보안 패치를 발표 할 때까지 CPU칩의 BIOS에서 SMT/Hyper-Threading을 비활성화 하는 것이라고 권고했습니다.

l  뉴스보기


KISA 보안공지

 

Apache Tomcat JK Connectors 보안 업데이트 권고 (2018.11.08)

Cisco 품군 취약점 보안 업데이트 권고 (2018.11.08)

Apache Struts 2 원격 코드 실행 취약점 주의 권고 (2018.11.07)


 

기타 동향

 

HTTP 포트 공격 52.91%, 10월 사이버공격 1

l  이글루시큐리티가 발표한 10월 보안동향에 따르면 HTTP(TCP/80) 포트 공격이 2,457,442,021(52.91%)으로 1위를 차지했습니다. 이어서는 DNS(UDP/53) 공격이 770,271,551(16.58%)으로 2위를, Microsoft-DS(TCP/445) 공격이 466,997,301(10.05%) 3위를 차지했습니다.

l  TOP 10에 속한 공격 대부분은 스캔, DoS 유형의 공격으로 서버 트래픽에 영향을 미칠 수 있습니다.

l  특히, 서비스에 직접적인 영향을 줄 수 있는 공격인 만큼 주기적인 디도스(DDoS) 모의훈련 시행 및 미사용 포트에 대한 방화벽 차단 정책 수립 등과 같이 실제 상황에 대비하는 준비가 필요합니다.

l  뉴스보기

DJI 드론의 클라우드 플랫폼에서 취약점 나와

l  보안 업체 체크포인트(Chek Point)의 전문가들이 DJI에서 만든 드론을 공격해 사용자의 계정 정보를 하이재킹하는 방법을 개발해냈습니다. 이 공격은 DJI 드론의 고객들 수천 명이 사용하고 있는 DJI 포럼을 통해 실시됩니다. 여기서 식별 토큰을 가로채고, 이를 활용해 해당 사용자인 것처럼 로그인을 하는 식입니다.

l  그러면 공격자들의 수중에 드론의 비행 기록 정보, 비행 중 촬영한 사진, 지불 관련 정보, 드론 카메로의 실시간 접근 권한이 들어갑니다. 또한 드론의 카메라와 위치정보를 통한 카메라 라이브 뷰도 볼 수 있고, DJI 고객 인증 과정에 취약한 부분이 있어 사용자 계정을 하이재킹 한 후 완전히 장악하는 것도 가능합니다.

l  체크포인트는 이러한 취약점을 올해 3 DJI 측에 보고했다. DJI는 이를 접수하고 패치를 발표했습니다.

l  뉴스보기

사용자 계정 정보 노리는 피싱 사이트 계속 출현

l  최근 포털 및 SW 서비스의 사용자 계정 정보를 노리는 다양한 피싱 사례가 발견돼 사용자들의 주의가 필요합니다. 공격자는 음란 동영상 플레이어처럼 만들어진 피싱 사이트를 제작해 이메일, 파일공유사이트(P2P) 등 다양한 방법으로 사용자를 해당 사이트로 유도했습니다.

l  사용자가 해당 피싱 사이트의 음란 동영상 재생 버튼을 클릭하면, ‘성인인증을 한다’는 명목으로 실제 포털 사이트 로그인 화면과 유사한 가짜 로그인 페이지가 열리고, 사용자가 동영상 시청을 위해 자신의 포털 ID와 비밀번호를 입력하면 계정 정보가 공격자에게 전송된다. 계정 정보 입력 후에는 정상 동영상 서비스 사이트로 연결되기 때문에 사용자는 계정 정보 유출을 의심하기 어렵습니다.

l  안랩 ASEC대응팀 박태환 팀장은 “사용자 계정 같은 개인정보는 공격자들이 선호하는 ‘먹잇감’중 하나”라며, “최근 공격자는 포털, 공공기관, 금융기관 사이트 등 사용자 접속이 많은 사이트를 대상으로 정상 사이트와 매우 유사한 피싱 사이트를 제작하고 있어 주의가 필요하다”고 말했습니다.

l  뉴스보기

 

 

 

0 Comments
댓글쓰기 폼