[보안뉴스] 2020년 7월 5주 동향

 

 

The Hacker News 발췌분

 

Industrial VPN Flaws Could Let Attackers Target Critical Infrastructures (2020-07-29)

 

l Claroty 연구진은 운영기술(OT) 네트워크에 대한 원격 액세스를 제공하는 데 사용되는 산업용 VPN 구현에서 중요한 취약점을 발견했습니다. 석유·가스, 수도, 전력회사 등 현장 기반 산업에서ICS나 프로그램 가능한 로직 컨트롤러(PLC), 입출력 장치 등의 필드 장치들을 원격 접속하거나 유지보수, 모니터링 시 널리 사용되는 제품으로 세코메아 게이트매니저 M2M 서버, Moxa EDR-G902, EDR-G903 등 엔터프라이즈급 VPN 설치와 HMS Networks eCatcher VPN 클라이언트 등이 대상에 포함됩니다.

l Secomean의 GateManager에서 연구자들은 임의의 데이터를 덮어쓰거나 임의 코드를 실행하거나 DoS 상태를 발생시키는 중대한 취약성(CVE-2020-14500)을 비롯해 명령어를 루트로 실행, 약한 해시 타입의 사용으로 인한 사용자 암호 획득 등 여러 보안 결함을 밝혀냈습니다. GateManager는 서버 설정을 피하면서 암호화된 터널을 통해 인터넷에서 내부 네트워크에 접속할 수 있는 클라우드 기반 SaaS 솔루션으로 전 세계적으로 널리 사용되는 ICS 원격 액세스 서버입니다. CVE-2020-14500 취약점은 Secomea 원격 액세스 솔루션의 주요 라우팅 인스턴스인 GateManager 구성요소에 영향을 미칩니다. 이 결함은 클라이언트가 제공한 HTTP 요청 헤더 중 일부를 잘못 처리하여 발생합니다. 이 결함은 어떠한 인증도 요구하지 않고 원격으로 이용할 수 있으며, 이는 VPN을 통과하는 모든 트래픽을 해독하는 기능과 함께 고객의 내부 네트워크에 대한 완전한 액세스를 획득할 수 있습니다.

l Moxa EDR-G902와 EDR-G903 산업용 VPN 서버에서는 특수하게 조작된 HTTP 요청을 보내는 것만으로도 트리거할 수 있는 스택 기반 버퍼 오버플로 버그(CVE-2020-14511)를 연구진이 발견해 결국 공격자가 자격 증명 없이도 원격 코드 실행을 수행할 수 있게 됐습니다. 또 이 회사의 eWon VPN 기기에 접속하는 독점 VPN 클라이언트인 HMS Networks의 eCatcher를 테스트해 본 결과 이 제품이 원격 코드 실행을 위해 악용될 수 있는 중요 스택 기반 버퍼 오버플로(CVE-2020-14498)에 취약하다는 사실을 밝혀냈습니다. 공격자가 해야 할 일은 피해자들을 속여 악의적인 웹사이트를 방문하게 하거나 eCatcher의 결함을 유발하는 특수하게 조작된 HTML 요소가 포함된 악의적인 이메일을 열어 결국 공격자가 대상 시스템을 완전히 장악할 수 있게 하는 것입니다.

l 3개 벤더 모두 취약점을 통보 받고 신속하게 대응해 수정안을 출시했습니다. Secomea 사용자는 새로 출시된 GateManager 버전 9.2c/9.2i로 제품을 업데이트하는 것이 좋으며, Moxa 사용자들은 EDR-G902 시리즈와 EDR-G903 시리즈에 사용 가능한 펌웨어 업데이트를 적용하여 EDR-G902/3를 버전 v5.5로 업데이트해야 하며, HMS Networks 사용자들은 eCatcher를 버전 6.5.5 이상으로 업데이트하는 것이 좋습니다.

l 뉴스보기

 

Critical GRUB2 Bootloader Bug Affects Billions of Linux and Windows Systems (2020-07-29)

 

l Eclypsium의 연구진이 오늘 거의 모든 Linux 배포 또는 Windows 시스템을 실행하는 서버와 워크스테이션, 노트북, 데스크톱 및 IoT 시스템을 포함하여 전세계 수십억 개의 장치에 영향을 미치는 새로운 고위험 취약점 'BootHole'(CVE-2020-10713)의 세부사항을 공개했습니다. 이 취약성은 GRUB2 Bootloader에 있으며, 이 취약성을 이용하면 공격자가 Secure Boot 기능을 우회하여 대상 시스템에 대한 높은 권한의 지속적이고 은밀한 액세스를 얻을 수 있습니다.

l BootHole은 GRUB2의 모든 버전에 영향을 미치는 버퍼 오버플로 취약성으로, 일반적으로 다른 파일 및 실행 파일처럼 서명되지 않는 구성 파일의 콘텐츠를 구문 분석하는 방식으로 존재하여 공격자가 신뢰의 하드웨어 루트를 파괴할 수 있는 기회를 제공합니다. grub.cfg 파일은 EFI 시스템 파티션에 위치하며, 따라서 파일을 수정하기 위해서는 공격자가 결국 공격자에게 장치에 대한 추가적인 권한 상승과 지속성을 제공할 수 있는 관리자 권한을 가진 대상 시스템에 대한 초기 발판이 여전히 필요합니다. GRUB2는 대부분의 리눅스 시스템에서 사용되는 표준 부트로더지만, XEN과 같은 다른 운영 체제, 커널, 하이퍼바이저도 지원합니다. 연구자들은 "버퍼 오버플로를 통해 공격자는 UEFI 실행 환경 내에서 임의 코드를 실행할 수 있으며, 이를 통해 악성코드를 실행하거나, 부팅 프로세스를 변경하거나, OS 커널을 직접 패치를 적용하거나, 다른 악의적인 작업을 얼마든지 실행할 수 있다"고 말했습니다.

l Microsoft 외에도, 많은 인기 있는 리눅스 배포판들은 다가올 보안 패치에 대한 결함, 가능한 완화 방법, 시간표 등을 설명하는 관련 권고 사항을 발표했습니다. 모든 권장 사항 목록은 Red Hat (Fedora and RHEL), Canonical (Ubuntu), SuSE (SLES and OpenSUSE), Debian, VMware, Microsoft, HP를 포함합니다.

l 뉴스보기

 

Undetectable Linux Malware Targeting Docker Servers With Exposed APIs (2020-07-28)

 

l 사이버보안 연구진은 오늘 AWS, Azure, 알리바바 클라우드 등 인기 클라우드 플랫폼에 호스팅 되어 공개적으로 액세스할 수 있는 Docker 서버를 대상으로 문서화되지 않은 기술을 이용하여 완전히 탐지할 수 없는 Linux 악성코드 'Doki'를 발견했습니다.

l Ngrok 마이닝 보트넷 캠페인은 잘못 구성된 도커 API 엔드포인트를 위해 인터넷을 검색하고 있으며 이미 많은 취약한 서버가 새로운 악성 프로그램에 감염되었습니다. Ngrok 채굴봇넷이 지난 2년간 활동 중인 가운데 새 캠페인은 주로 잘못 구성된 도커 서버를 장악하고 이를 악용해 피해자들의 인프라에 암호채굴기와 함께 악성 컨테이너를 설치하는 데 초점이 맞춰져 있습니다. 공격자는 바인드 구성을 사용하여 호스트의 크론 유틸리티를 제어할 수 있습니다. 공격자는 다운로드한 페이로드를 매분마다 실행하도록 호스트의 크론을 수정합니다. 또한 컨테이너 탈출 기술을 사용하여 피해자의 인프라를 완전히 장악하고 있습니다. 악성코드는 손상된 시스템을 이용하여 zmap, zgrap, jq와 같은 검색 도구를 사용하여 Redis, Docker, SSH 및 HTTP와 관련된 포트를 네트워크에서 추가로 검사하기도 합니다.

l 도커 인스턴스를 실행하는 사용자와 조직은 도커 API를 인터넷에 노출하지 않도록 하고, 해당 기능이 필요한 경우 신뢰할 수 있는 네트워크나 VPN에서만 도커 API에 연결할 수 있는지, 도커 데몬을 제어할 수 있는 신뢰할 수 있는 사용자만 액세스할 수 있는지 확인하십시오. API를 통해 컨테이너를 프로비저닝하기 위해 웹 서버에서 Docker를 관리하는 경우, 악의적인 사용자가 임의 컨테이너를 만들도록 하는 조작된 매개 변수를 전달할 수 없도록 매개 변수 검사에 평소보다 더 주의해야 합니다.

l 뉴스보기

 

 

 

KISA보안공지

 

Mozilla 제품군 보안 업데이트 권고 (2020-07-29)

Dell iDRAC 9 보안 업데이트 권고 (2020-07-29)

Adobe Magento 제품 보안 업데이트 권고 (2020-07-29)

 

 

 

기타 동향

 

어도비의 전자상거래 플랫폼 마젠토에서 위험한 취약점 발견 (2020-07-31)

l 어도비, 마젠토 2 플랫폼에서 치명적 취약점 2개, 중요 취약점 2개 발견해 패치.

l 이 취약점들을 익스플로잇 할 경우 임의 코드 실행과 보안 장치 우회가 가능.

l 마젠토는 온라인 상거래 플랫폼이라 해커들의 관심이 매우 높음.

l 뉴스보기

 

넷플릭스 고객들 노린 피싱 공격, 자연어 처리 기술로 잡아내 (2020-07-29)

l 어떤 공격자들, 집에 있는 사람들이 넷플릭스 많이 본다는 것을 노리고 피싱 공격.

l 두 개의 사이트 침해해 하나에는 캡쳐 페이지를, 다른 하나에는 가짜 넷플릭스 웹사이트를 호스팅.

l 자연어 처리 기술로 잡아낸 피싱 공격이라는 점에서도 특징적.

l 뉴스보기

 

시스코의 네트워크 장비에서 발견된 취약점, 실제 공격 받는 중 (2020-07-28)

l 시스코의 네트워크 장비들에 설치되는 소프트웨어에서 취약점 발견됨.

l 패치가 발표된 건 지난 주 수요일인데, 1주일 지나도록 10% 정도만 패치 됨.

l 개념증명까지 나온 마당이라, 현재 해커들의 실제 익스플로잇 활발함.

l 뉴스보기