본문 바로가기

보안기사/보안동향

(4)
아파치 톰캣 취약점 발견(고스트 캣) 오프소스 웹 서버인 아파치 톰캣(Apache Tomcat)에서 취약점이 발견, 이를 통해 원격 코드 실행 등 공격도 발생할 수 있다고 한다. 취약한 톰캣 버전은 7.0, 8,5, 9.0 버전이라고 한다. 문제의 취약점은 CVE-2020-1938로 2월 20일에 이미 공개된 바 있는 취약점이다. ※ CVE-2020-1938 : Apache Tomcat 서버에 존재하는 파일에 취약점이 포함되어 있어 공격자가 해당 취약점을 악용하여 Tomcat webapp 목록 하위의 있는 모든 임의의 파일 업로드 허용하는 경우, 공격자는 이를 악용하여 jsp 파일 업로드 후 원격코드 실행이 가능하다 깃허브에 공개된 익스플로잇의 이름은 고스트 캣(Ghostcat)이며 서버로부터 정보를 추출할 수 있게 해 주며 성공률 또한 꽤..
D2C를 통한 망분리 공격 최근 연구결과에 의하면 모니터 픽셀 변화를 통해 정보를 전달할 수 있다고 하고 이를 공격에 활용할 경우 인터넷에서 분리된 컴퓨터에서도 정보를 훔칠 수 있다 컴퓨터는 특정 픽셀들에 있는 적색 값의 변화를 이용해 근처 영상 카메라와 주고 받을 수 있고 이를 D2C(display-to-camera)라 함 현재까지는 일부 정부기관과 연구실에서만 성립할 수 있는 공격이지만 나중에는 성립 범위가 더 커짐 D2C로 감시 카메라 화면으로 녹화된 영상을 기계의 눈으로도 검토할 수 있게 하는 기술 연구를 통해 특정 픽셀군의 적색요소를 3% 조정할 경우 5 ~ 10비트의 전송 속도를 얻어낼 수 있는 것을 확인 하지만 적색요소를 3%정도 바꿔봐야 사람 눈에 띄지 않음 이에 구리 박사는 문제의 화면을 오랜 시간 응시할 경우 공..
시스코제품에서 발견된 치명적인 취약점 5개 - 문제가 발견된 프로토콜 : 디스커버리 프로토콜(CDP) - 발견 업체 : 아미스(Armis) - 통칭 : 시디폰(CDPwn) - 익스플로잇 성공시 망분리 무용지물 및 수백만개의 장비를 원격으로 장악 가능 - 공격 성립 조건 : 이미 공격 표적이 된 네트워크에 접근이 된 상태여야함 - 5개의 취약점 중 4개는 원격 코드 실행 취약점 1개는 디도스(DDoS) 유발 취약점 1) CVE-2020-3118 : 포맷 문자열 오류, 스택 오버플로우를 시켜 원격코드 실행이 가능한 상태를 만들어 장비를 완전히 장악, 분리된 망을 넘나들 수 있게 된다 2) CVE-2020-3119 : 스택 오버플로우 통해 원격 코드실행, 공격자는 정상적인 CDP 패킷에 파워레벨을 살짝 올려 취약점을 발동시켜 장비를 장악 3) CVE-..
레몬 덕(lemon duck) 레몬덕(lemon duck) 윈도우 7을 기반으로 하는 기계들을 대상으로 사물인터넷 장비를 최대한 많이 이용하여 암호화폐를 채굴하는 것, 특히 1)모네로 획득에 혈안을 두고 있음, 레몬덕 공격자들은 윈도우 7에서 발견된 취약점들을 가지고 최초침투에 활용 특히 2)서버 메시지 블록(SMB)을 악용하는 3)이터널블루 익스플로잇이 애용되고 있으나, MYSQL의 SQL Injection 또한 많이 악용되고 있음 SMB(445번), MSSQL(1433번)을 확인하여 인터넷과 연결이 되어 있는지부터 확인 후 다수의 스레드를 실행 그 후 브루트포스 공격을 실시해 크래킹 크래킹 성공 시 SMB or MSSQL을 통해 추가 멀웨어 전송 공격 지속성 확보를 위해 스케줄러 or powreshell script 활용 침투 이..