정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
Researcher Demonstrates 4 New Variants of HTTP Request Smuggling Attack (2020-08-05)
l 새로운 연구는 다양한 상용 기성 웹 서버와 HTTP 프록시 서버에 대해 작용하는 네 가지 새로운 변형 HTTP 요청 밀반입 공격을 확인했습니다. SafeBreach 보안 리서치 부사장인 Amit Klein이 Black Hat security conference에서 발표한 이번 공격은 웹 서버와 HTTP 프록시 서버가 처음 문서화된 지 15년이 지났음에도 여전히 HTTP 요청 밀반입에 어떻게 취약한지를 상기시킵니다.
l HTTP 요청 밀반입(HTTP Desyncing)은 웹 사이트가 한 명 이상의 사용자로부터 수신된 HTTP 요청의 순서를 처리하는 방식을 방해하기 위해 채택된 기술입니다. 일반적으로 FrontEnd(부하 분산 장치 또는 프록시)와 BackEnd 서버가 HTTP 요청의 경계를 다르게 해석하여 공격자가 다음 합법적인 사용자 요청에 앞서 애매한 요청을 보낼 수 있게(또는 "밀어내기")할 때 발생합니다. 이러한 요청의 동기화는 자격 증명을 하이잭킹하고, 사용자에게 응답을 주입하며, 심지어 피해자의 요청에서 데이터를 도용하고, 공격자가 통제하는 서버에 정보를 유출하는 데 악용될 수 있습니다.
l새로운 변종에는 웹서버 모드의 Aprelium's Abass, Microsoft IIS, Apache, Tomcat 등 다양한 프록시 서버 조합을, HTTP 프록시 모드의 Nginx, Squid, HAProxy, Caddy, Traefik 등 다양한 프록시 서버 조합을 사용하는 것이 포함됩니다. 연구원이 실험에서 성공적으로 악용한 이전 변종을 포함하여 새로운 네 가지 새로운 변종 목록은 다음과 같습니다.
변종 1 –"Header SP/CR junk: …"
변종 2 –"Wait for it"
변종 3 –mod_security 유사 방어를 바이패스하는 HTTP/1.2
변종 4 – a plain solution
변종 5 –"CR header"
l연구 결과가Aprelium, Squid, OWASP CRS에 공개된 후, Abyss X1 v2.14, Squid versions 4.12와 5.0.3, CRS v3.3.0에서 수정되었습니다. 또한 HTTP 헤더 포맷과 요청 라인 포맷을 엄격히 준수함으로써 모든 수신 HTTP 요청이 완전히 유효하고 준수하며 모호하지 않도록 하는 C++ 기반 라이브러리를 발간했으므로 GitHub에서 해당 라이브러리에 접속하여 사용하십시오.
l 뉴스보기
Apple Touch ID Flaw Could Have Let Attackers Hijack iCloud Accounts (2020-08-05)
l IT 보안 기업 Computest의 Thijs Alkemade가 Apple의 Touch ID 취약점을 발표하자 아이폰 제조사는 서버 측 업데이트의 취약점을 해결했습니다.
l iframe-x URL에는 iCloud와 같은 서비스를 식별하는 "client_id"와 성공적인 검증 후 리디렉션할 URL이 있는 "redirect_uri"의 두 가지 다른 파라미터가 포함되어 있고, 사용자가 Touch ID를 사용하여 인증되는 경우, iframe-x은 생체인증을 처리하기 위해 AuthKit 데몬(akd)과 통신한 후, icloud.com 페이지에서 로그인 과정을 계속하기 위해 사용하는 토큰("require_code")을 검색합니다. 이를 위해 데몬은 "gsa.apple.com"에서 API와 통신하며, 요청의 세부사항을 전송하고 토큰을 수신합니다. Computest가 발견한 보안 취약점은 앞서 언급한gsa.apple.com API에 존재하며, 이는 도메인을 악용하여 인증 없이 클라이언트 ID를 검증할 수 있게 만들었습니다.
lAuthKit 데몬(akd)이 제출한 자료에는 client_id와 redirect_uri가 포함됐지만 리디렉션된 URI가 클라이언트 ID와 일치하는지는 확인하지 않았습니다. 대신 AKAPPSSOEXtension이 도메인에 적용한 화이트리스트만 있었고apple.com, icloud.com, icloud.com.cn으로 끝나는 모든 도메인이 허용되었습니다. 때문에 공격자가 Apple 하위 도메인 중 하나에 있는 XSS 취약성을 이용하여 iCloud 클라이언트 ID를 사용하여 로그인 프롬프트를 트리거할 수 있는 JavaScript-x 코드의 악의적인 코드 조각을 실행하고 허가 토큰을 사용하여 icloud.com에서 세션을 얻을 수 있습니다.
l또 다른 시나리오에서는 Wi-Fi 네트워크에 처음 접속할 때 표시되는 웹페이지에 자바스크립트를 내장해 공격을 실행할 수 있어, 터치만으로 공격자가 사용자 계정에 접속할 수도 있습니다. 악성 Wi-Fi 네트워크는 icloud로서 OAuth를 개시하는 자바스크립트(JavaScript-x)가 있는 페이지로 대응할 수 있습니다. 사용자가 해당 프롬프트에서 인증하면 세션 토큰이 악의적인 사이트로 전송되어 공격자에게 iCloud의 계정에 대한 세션을 제공하게 됩니다. 공항, 호텔, 기차역 등에서 포획된 포털을 받을 것으로 예상되는 위치에 가짜 핫스팟을 설치함으로써 상당수의 iCloud 계정에 접근할 수 있었고, 이를 통해 사진 백업, 전화 위치, 파일 등을 이용할 수 있습니다.
l 뉴스보기
US Government Warns of a New Strain of Chinese 'Taidoor' Virus (2020-08-04)
l 미국의 정보기관들이 정부, 기업, 싱크탱크 등을 대상으로 중국 국영 해커들이 사용한"Taidoor"악성코드의 새로운 변종 정보를 공개했습니다. 이 악성코드는 2008년부터 시스템을 절충하는 정상 프로그램으로 가장해왔고, 공격자들은 그것을 몰래 피해자 네트워크에 배치했습니다. CISA(미국 사이버보안 및 인프라 보안국), FBI(연방수사국), DoD(국방부)는 "중국 정부 해커들이 피해망에서의 존재감을 유지하고 네트워크 착취를 더 진전시키기 위해 프록시 서버와 연계해 악성코드 변형을 이용하고 있다는 생각을 확실히 갖고 있다"고 밝혔습니다. 미국 사이버 사령부는 또한 50개 이상의 안티바이러스 회사들이 다른 무인 캠페인에 대한 바이러스의 관여를 확인할 수 있도록 Taidoor RAT의 샘플 4개를 공공 악성 프로그램 저장소 VirusTotal에 업로드 했습니다.
l 2012년 Trend Micro 연구진이 분석한 결과, "Taidoor"의 배후 공격자들은 악의적인 PDF 첨부 파일이 담긴 사회공학적 이메일을 활용해 대만 정부를 공략한 것으로 드러났습니다. FireEye는 2013년 "계속 진화하는 지속적인 위협"이라며 "악성 이메일 첨부 파일이 Taidoor 악성코드를 직접 삭제하지 않고 대신 기존의 Taidoor 악성코드를 인터넷에서 잡는 '다운로드러'를 삭제했다"고 전략의 중요한 변화에 주목했습니다. 지난해 NTT Security는 Microsoft Word 문서를 통해 백도어가 일본 조직에 불리하게 이용되고 있다는 증거를 적발했습니다. 열리면 악성코드를 실행하여 공격자가 제어하는 서버와의 통신을 설정하고 임의 명령을 실행합니다. 이번 발표에 따르면spear-phishing 이메일에 첨부된 악성 콘텐츠가 담긴 미끼 문서를 사용하는 이 기술은 여전히 변하지 않았습니다.
l "Taidoor"는 대상 시스템에 서비스 DLL(dynamic link library)로 설치되어 있으며 2개의 파일로 구성되어 있습니다. 첫 번째 파일은 서비스로 시작하는 로더입니다. 로더(ml.dll)는 두 번째 파일(svchost.dll)을 해독하여 메모리에서 실행하는데, 이것은 주 RAT(Remote Access Trojan)입니다. "Taidoor"는 원격 명령 실행 외에도 파일 시스템 데이터를 수집하고 스크린샷을 캡처하며 수집된 정보를 빼내는 데 필요한 파일 작업을 수행할 수 있는 기능을 제공합니다.
l CISA는 사용자와 관리자에게 운영 체제 패치를 최신 상태로 유지하고, 파일 및 프린터 공유 서비스를 사용하지 않도록 설정하고, 강력한 암호 정책을 적용하고, 전자 메일 첨부 파일을 열 때 주의를 기울일 것을 권장합니다.
l 뉴스보기
KISA보안공지
Cisco 제품 취약점 보안 업데이트 권고 (2020-08-06)
GRUB2 부트로더 취약점 보안 업데이트 권고 (2020-08-04)
Cisco 제품 취약점 보안 업데이트 권고 (2020-08-03)
기타 동향
인텔의 지적재산 침해 사고? 20GB 데이터를 찾아라 (2020-08-07)
l 어나니머스소스, 올해 인텔 침해해 20GB 정보 가지고 간 것으로 보임.
l 한 해커가 이것을 얻었다고 주장하며, “곧 유출될 것”이라고 예고.
l 인텔이 이 주장에 대한 조사에 돌입하게 됨.
l 뉴스보기
넷워커 랜섬웨어, 사업 모델 바꾸더니 순식간에 수익 불어나 (2020-08-05)
l 넷워커, 3월부터RaaS 구조로 사업 모델 전환.
l 그 때부터 지금까지 거둔 수익이 3천만 달러.
l RaaS의 성행은 앞으로 랜섬웨어 공격이 더 많아질 거라는 얘기.
l 뉴스보기
노드JS를 공략하는 새로운 기법, ‘숨겨진 특성 남용’ (2020-08-03)
l 노드JS 애플리케이션을 공략할 수 있는 방법, ‘숨겨진 특성 남용’.
l 자바스크립트의 객체에 덧붙은 특성들, 중요 내부 데이터 포함하고 있지만 사람들이 잘 모름.
l 개발자들은 ‘이 내부 데이터에 아무도 접근할 수 없다’고 여기고 프로그램 개발.
l 뉴스보기