The Hacker News 발췌문
The Unknown Risks of The Software Supply Chain: A Deep-Dive (2024-01-24)

l  점점 더 많은 조직이 오픈 소스 구성 요소를 애플리케이션 인프라의 기본 블록으로 채택하고 있는 상황에서 기존 SCA를 오픈 소스 위협에 대한 완전한 보호 메커니즘으로 간주하기는 어렵습니다.
l  오픈 소스 라이브러리를 사용하면 코딩 및 디버깅 시간이 엄청나게 절약되므로 애플리케이션 제공 시간이 단축됩니다. 그러나 코드베이스가 점차 오픈 소스 소프트웨어로 구성됨에 따라 의존할 SCA 플랫폼을 선택할 때 공급망 자체에 대한 공격을 포함하여 전체 공격 표면을 존중해야 할 때입니다.
l  뉴스보기

Apple Issues Patch for Critical Zero-Day in iPhones, Macs - Update Now (2024-01-23)

 

l  Apple은 월요일에 현재 활발하게 악용되고 있는 제로데이 결함을 해결하기 위해 iOS, iPadOS, macOS, tvOS 및 Safari 웹 브라우저에 대한 보안 업데이트를 발표했습니다.
l  CVE-2024-23222로 추적되는 이 문제는 위협 행위자가 악의적으로 제작된 웹 콘텐츠를 처리할 때 임의 코드를 실행하기 위해 악용할 수 있는 WebKit 브라우저 엔진의 유형 혼동 버그입니다. 기술 대기업은 향상된 점검을 통해 문제가 해결되었다고 말했습니다.
l  뉴스보기

Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters (2024-01-24)

 

l  사이버 보안 연구원들이 Google 계정을 사용하는 위협 행위자가 Kubernetes 클러스터를 제어하기 위해 잠재적으로 악용할 수 있는 Google Kubernetes Engine(GKE)에 영향을 미치는 허점을 발견했습니다.
l  클라우드 보안 회사인 Orca에서는 이 치명적인 단점을 Sys:All이라는 코드명으로 지정했습니다. 최대 250,000개의 활성 GKE 클러스터가 공격 벡터에 취약한 것으로 추정됩니다.
l  The Hacker News와 공유한 보고서에서 보안 연구원 Roi Nisimi는 "Google Kubernetes Engine의 system:authenticated 그룹에는 확인되고 결정적인 신원만 포함되지만 실제로는 모든 Google 인증 계정이 포함된다는 널리 퍼진 오해에서 비롯된 것 같습니다( 조직 외부에서도요)."
l  뉴스보기

KISA보안공지
-          VMware 제품 보안 업데이트 권고
-          MLflow 및 ClearML 플랫폼 보안 업데이트 권고
-          Ivanti 제품 보안 업데이트 권고
-          Apple 제품 보안 업데이트 권고


기타 동향
‘임금 수령 통지서’로 위장한 큐싱 메일 유포 (2024-01-27)

l  공격자 발신인 ‘ahblab.com’으로 위장...메일 헤더에서 실제 발신인 확인 가능
l  금전적인 피해 및 2차 피해로 이어질 수 있어, 메일 확인에 각별한 주의 요구돼
l  뉴스보기

종교 제품 온라인 쇼핑몰 ‘신애성구사’, 디페이스 해킹... 해커 이름만 4명정황 (2024-01-24)

 

l  온라인 쇼핑몰 ‘신애성구사’, 디페이스 해킹한 해커 이름만 4개...여러 해커 공격 추정
l  구글 검색 통해 해당 사이트의 세션 정보 그대로 노출...로그인 정보 없이 로그인 가능
l  제대로 관리되지 못하고 해킹된 채 그대로 방치...웹사이트 보안 관리 강화 필요
l  뉴스보기
 

VM웨어 클라우드 관리 플랫폼에서 ‘접근 제어 누락 취약점’ 발견 (2024-01-22)

 

l  공격자 임의로 접근 허용하고, 데이터 탈취할 수 있는 치명적인 취약점
l  “신속한 패치와 함께 클라우드 로그 모니터링 중요”
l  뉴스보기