정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
Secret Backdoor Account Found in Several Zyxel Firewall, VPN Products (2021-01-01)
l Zyxel은 공격자가 관리자 권한으로 로그인하고 네트워크 장치를 손상시킬 수 있는 비밀 계정과 관련된 펌웨어의 심각한 취약성을 해결하기 위한 패치(ZLD V4.60 Patch1)를 출시했습니다. CVE-2020-29583으로 추적되는 이 결함은 CVSS 점수 7.8입니다. EYE 연구원인 Niels Teusink가 보고했으며, USG(Unified Security Gateway), USG FLEX, ATP 및 VPN 방화벽 제품을 비롯한 다양한 Zyxel 장치에 있는 버전 4.60에 영향을 미칩니다.
l 문서화되지 않은 계정 "zyfwp"은 일반 텍스트로 저장될 뿐만 아니라 악의적인 제 3자가 SSH 서버나 관리자 권한이 있는 서버 또는 웹 인터페이스에 로그인하는 데 사용할 수 있는 변경할 수 없는 암호 "PrOw! aN_fXp"와 함께 제공됩니다. 하드코딩 된 자격 증명은 FTP를 통해 연결된 액세스 포인트에 자동 펌웨어 업데이트를 제공하기 위해 배치되었습니다. 네덜란드의 1000개 장치 중 약 10%가 영향을 받는 펌웨어 버전을 실행한다는 점에 주목하면서 Teusink는 이 결함이 악용하기 쉬워 심각한 취약점이 된다고 말했습니다.
l 대만 회사는 2021년 4월에 출시 될 V6.10 패치 1을 통해 AP 컨트롤러의 문제를 해결할 것으로 예상됩니다. 사용자는 결함과 관련된 위험을 완화하기 위해 필요한 펌웨어를 최신 버전으로 업데이트 하십시오.
l 뉴스보기
A Google Docs Bug Could Have Allowed Hackers See Your Private Documents (2020-12-29)
l Google은 서비스 전반에 통합된 피드백 도구에서 새롭게 발견된 버그를 패치하였습니다. 이 취약점은 공격자가 악의적인 웹 사이트에 단순히 삽입하여 민감한 Google 문서의 스크린 샷을 훔칠 수 있습니다. 보안 연구원 Sreeram KL에 의해 7월 9일 발견되었습니다.
l Google 문서에는 사용자가 특정 문제를 강조하기 위해 자동으로 로드되는 스크린샷을 포함하는 옵션과 함께 의견을 보낼 수 있는 '의견 보내기' 또는 '문서 개선 도움말' 옵션이 제공됩니다. 이 결함은 Google 문서 도구 도메인에 X-Frame-Options 헤더가 없기 때문에 메시지의 대상 출처를 변경하고 페이지와 그 안에 포함된 프레임 간의 출처 간 통신을 이용할 수 있습니다. 공격에는 '의견 보내기 버튼 클릭'과 같은 사용자 상호 작용이 필요하지만 익스플로잇은 이 취약점을 쉽게 활용하여 업로드 된 스크린 샷의 URL을 캡처하고 악의적인 사이트로 유출할 수 있습니다. 이는 악성 웹 사이트의 iFrame-x에 Google 문서 파일을 삽입하고 피드백 팝업 프레임을 가로채 콘텐츠를 공격자가 선택한 도메인으로 리디렉션함으로써 가능합니다.
l 출처 간 통신 중에 대상 출처를 정확하게 제공하십시오. Mozilla 문서에서는 "postMessage를 사용하여 데이터를 다른 창으로 보낼 때 항상 *가 아닌 정확한 대상 출처를 지정합니다."라고 말합니다. 사용자는 검증되지 않은 사이트를 이용하지 마십시오.
l 뉴스보기
AutoHotkey-Based Password Stealer Targeting US, Canadian Banking Users (2020-12-29)
l 공격자들이 2020년초부터 지속적으로 Microsoft Windows용 오픈 소스 사용자 지정 스크립팅 언어인 AutoHotkey(AHK)로 작성된 새로운 자격 증명 탈취자를 배포하는 것으로 밝혀졌습니다. 미국과 캐나다, 인도의 Scotiabank, Royal Bank of Canada, HSBC, Alterna Bank, Capital One, Manulife, EQ Bank 및 ICICI Bank와 같은 금융기관 및 은행 고객들이 주요 대상입니다.
l 감염 경로는 VBA(Visual Basic for Applications) AutoOpen 매크로가 포함된 맬웨어 기반 Excel 파일로 시작됩니다. 이 매크로는 합법적인 경로를 통해 다운로더 클라이언트 스크립트 "adb.ahk"와 휴대용 AHK 스크립트 컴파일러 실행 파일 "adb.exe"을 삭제하고 실행하는 데 사용됩니다. 다운로더 클라이언트 스크립트는 지속적이며 피해자를 프로파일링하고 미국, 네덜란드 및 스웨덴에 있는 C&C 서버에서 추가 AHK 스크립트를 다운로드 및 실행하여 다양한 작업을 수행합니다. 그중 가장 중요한 것은 Google Chrome, Opera, Microsoft Edge 등과 같은 다양한 브라우저를 대상으로 하는 자격 증명 도용자입니다. 일단 설치되면 공격자는 감염된 컴퓨터에 "sqlite3.dll"을 다운로드 하려고 시도하며 브라우저의 앱 폴더에 있는 SQLite 데이터베이스에 대해 SQL 쿼리를 수행합니다. 마지막 단계에서 공격자는 브라우저에서 자격 증명을 수집 및 해독하고 HTTP POST 요청을 통해 일반 텍스트로 C&C 서버로 정보를 추출합니다.
l 이렇게 함으로써 공격자는 특정 스크립트를 업로드하여 각 사용자 또는 사용자 그룹에 대한 맞춤형 작업을 수행할 수 있습니다. 또한 주요 구성 요소가 다른 연구자나 샌드박스에 공개되는 것을 방지합니다. 사용자는 관련 악성파일이 설치되어있는지 살펴보고 브라우저의 자격 증명을 강화하십시오.
l 뉴스보기