[보안뉴스] 2019년 2월 3주 동향

The Hackers News 발췌 분

 

Flaws in PRunC Flaw Lets Attackers Escape Linux Containers to Gain Root on Hosts(2019-02-12)

l  심각한 보안 취약점 CVE-2019-5736으로 인해 오픈 소스 컨테이너 관리 시스템에 영향을 미치는 핵심 runC 컨테이너 코드에서 공격자가 Linux 컨테이너를 벗어나 호스트 운영체제에 대한 권한 없는 루트 수준의 액세스 권한을 얻을 수 있습니다.

l  특수하게 조작된 악의적인 컨테이너나 컨테이너 루트 액세스 권한을 가진 공격자는 컨테이너를 실행하는 호스트 머신에 대한 관리 권한을 얻기 위해 결함을 이용할 수 있으며, 결국 컨테이너에서 실행되는 수백, 수천 개의 다른 컨테이너를 손상시킬 수 있습니다. 공격자는 컨테이너에 대한 루트 접근을 위해 공격자가 제어하는 이미지를 사용하여 새 컨테이너를 생성하거나 공격자가 이전에  쓰기 권한으로 접속했었던 기존 컨테이너를 attach(docker exec) 해야 합니다.

l  Red Hat에 따르면 SELinux가 enforce 모드로 동작하는 경우 취약점이 완화될 수 있고 Red Hat Enterprise Linux, CentOS 및 Fedora는 기본적으로 enforce 모드로 동작합니다. 이미 주요 공급 업체 및 클라우드 서비스 제공 업체에서는 보안 패치를 추진하고 있으며, Rancher는 Docker의 레거시 버전에 대한 패치 스크립트도 게시했습니다. 새로운 컨테이너를 사용하는 경우에는 패치된 runC가 포함된 이미지로 업그레이드하는 것을 권장합니다.

l  뉴스보기

 

WARNING ? New Phishing Attack That Even Most Vigilant Users Could Fall For(2019-02-15)

l  비밀번호 관리 소프트웨어 회사인 Myki의 CEO인 Antoine Vincent Jebara는 사이버 범죄자들이 방문자들에게 독점 기사를 읽거나 할인된 제품을 구입하기 위해 "Facebook 계정을 사용하여 로그인"하도록 하는 블로그 및 서비스 링크를 배포하고 있다는 것을 발견했습니다.

l  악성블로그와 온라인 서비스가 다른 피싱 사이트와 마찬가지로 가짜 Facebook 로그인 프롬프트로 이용자들에게 서비스를 제공하고 있다는 것을 발견했습니다. HTML과 JavaScript로 만들어진 가짜 팝업 로그인 프롬프트는 유효한 HTTPS를 나타내는 녹색 잠금 패드가 있는 Facebook 웹사이트로의 상태 표시줄, 네비게이션 바, 그림자 및 URL과 같은 합법적인 브라우저 창처럼 보이게 복제했습니다.

l  이런 유형의 피싱 공격으로부터 자신을 보호할 수 있는 유일한 방법은 현재 표시된 창에서 프롬프트를 끌어내는 것입니다. 드래그-아웃이 실패하면(팝업의 일부가 창 가장자리 너머로 사라짐) 팝업이 가짜라는 징후입니다. 가능한 모든 서비스는 2단계 인증을 사용하여 해커들이 당신의 온라인 계정에 접근할 수 없도록 하는 것을 권장합니다.

l  뉴스보기

 

How to Hack Facebook Accounts? Just Ask Your Targets to Open a Link(2019-02-18)

l  특수하게 조작된 URL을 클릭하는 것만으로도 공격자는 어떠한 상호 작용 없이 당신의 Facebook 계정을 해킹할 수 있습니다. 한 보안 연구원이 가장 인기 있는 소셜 미디어 플랫폼에서 공격 대상 사용자를 속여서 링크를 클릭하는 것만으로 Facebook 계정을 해킹할 수 있는 CSRF(Critical Cross-Site Request forgery) 취약성을 발견했습니다.

l  이 방식은 취약한 엔드포인트로 인해 발생하며, 공격자가 선택한 다른 Facebook 엔드포인트를 매개 변수와 함께 사용하며 fb_dtsg(facebook cahce token) 매개 변수를 추가한 후 해당 엔드 포인트에 POST 요청을 하면 됩니다 공격자는 특수하게 조작된 Facebook URL을 클릭하도록 피해자들을 속이는 것 만으로도 타임라인에 모든 것을 게시하거나 프로필 사진을 변경,삭제하고, 심지어 사용자들을 속여 Facebook 계정 전체를 삭제하도록 할 수 있습니다.

l  Facebook 계정에 대해 2단계 인증을 사용함으로써 해커들이 사용자 모바일 기기로 전송된 6자리 암호를 확인할 때까지 사용자 계정에 로그인하는 것을 방지한다면 이러한 계정 테이크오버 공격은 완화될 수 있습니다.

l  뉴스보기

 

Another Critical Flaw in Drupal Discovered ? Update Your Site ASAP!(2019-02-21)

l  Drupal 개발자는 원격 공격자가 사이트를 해킹 할 수 있는 치명적인 취약점을 패치하기 위해 최신 버전의 소프트웨어를 출시했습니다. 이 취약점은 Drupal Core의 중요한 원격 코드 실행 (RCE) 결함으로, 일부 경우에는 임의의 PHP 코드가 실행될 수 있습니다.

l  취약성(CVE-2019-6340)에 대한 기술적 세부사항을 발표하지 않았지만, 일부 필드 유형은 비형식 출처의 데이터를 제대로 정리하지 못하고 Drupal 7, 8 코어에 영향을 미치기 때문에 결함이 존재한다고 언급했습니다. 또한 Drupal 기반 웹 사이트는 RESTful Web Services(rest) 모듈이 활성화되어 PATCH 또는 POST 요청을 허용하거나 다른 웹 서비스 모듈이 활성화된 경우에만 영향을 받는다는 점에 유의해야 합니다. 최신 업데이트를 즉시 설치할 수 없는 경우에는 모든 웹 서비스 모듈을 비활성화하거나 웹 서버가 웹 서비스 리소스에 PUT/PATCH/POST 요청을 허용하지 않도록 구성하여 취약성을 완화해야 합니다.

l  Drupal은 Drupal 7 Services 모듈 자체는 현재 업데이트가 필요하지 않지만, 사용자들은 "Services"가 사용 중일 경우 최신 권고와 관련된 다른 업데이트를 적용하는 것을 권장합니다.

l  뉴스보기

---

KISA 보안공지

 

리눅스 snapd 취약점(dirty sock) 보안 업데이트 권고(2019-02-18)

WordPress 원격코드 실행 보안 업데이트 권고(2019-02-21)

Cisco 제품군 취약점 보안 업데이트 권고(2019-02-21)

Adobe Acrobat 보안 업데이트 권고(2019-02-22)

 

---

기타 동향

 

리눅스의 Snapd 패키지에서 권한 상승 취약점 발견(2019-02-14)

l  각종 리눅스 시스템에서 사용되고 있는 Snapd 패키지에서 취약점 발견됨.

l  이는 소켓에서 발생하는 문제로, 악용할 경우 권한 상승 공격을 할 수 있게 됨.

l  Snapd 2.37.1이 해결된 버전. 민트, 데비안, 페도라, 우분투 관리자라면 확인해볼 필요 있음.

l  뉴스보기

 

세계적인 인기 누리는 압축 툴 ‘윈라’에서 심각한 취약점 발견(2019-02-22)

l  압축 툴 윈라에 퍼징 테스트를 실시했더니 심각한 취약점들 다수 나옴.

l  그 중 하나는 ACE 파일 통해 임의의 코드를 실행할 수 있게 해주는 것.

l  윈라 개발사는 문제가 된 라이브러리의 소스코드 찾을 수 없어 아예 호환되지 않도록 조치를 취함.

l  뉴스보기

 

요즘 공격자의 ‘Living off the Land’ 전략 사례, 세파(2019-02-22)

l  새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.

l  PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.

l  공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.

l  뉴스보기