Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점이 발견됨. - Ghost는 웹 사이트 구축, 콘텐츠 게시 및 뉴스레터 전송을 위한 무료 오픈소스 CMS - 워드프레스보다 빠르고 간편함 - 약 126,000개의 웹사이트에서 사용 [취약점] - CVE-2022-41654, CVSS 점수는 9.6 - 외부 사용자가 뉴스레터를 만들거나, 기존 뉴스레터를 수정하여 악성 javascript 파일 주입 가능 → 정상적인 사이트에서 대규모 피싱 공격 수행 가능 → 공격자가 XSS 공격을 통해 사이트의 전체 액세스 권한을 얻었기에 javascript를 주입이 가능한 것. 해당 취약점은 최신 버전을 통해 패치되었으므로, 빠르게 보안 패치를 적용할 것을 권고함. 해당 기사 링크(BleepingComputer)

Apple이 macOS 장치에 멀웨어 배포하는데 사용되는 버그를 패치했음. 해당 버그는 멀웨어가 Gatekeeper의 보호 기능을 우회할 수 있게 함. Gatekeeper는정상적인 앱에 악성 플러그인을 배포할 수 없도록 보호하는 maxOS 기능. 앱 실행 전에 사용자에게 확인을 요청/앱을 신뢰할 수 없다는 경고 발생시킴. (Windows의 Mark of the Web과 유사) 웹 브라우저에서 다운받는 모든 파일의 com.apple.quarantine 속성을 확인함으로서 수행됨. 해당 버그에는 CVE-2022-42821, Achilles 라는 이름이 붙음. [내용] - 특수 조작된 페이로드가 논리 문제를 악용 - 제한적 ACL(Access Control List) 권한을 설정 - 해당 권한은, 웹 브라우저..

사설 마인크래프트 서버를 타겟으로 DDoS 공격을 수행하는 크로스 플랫폼 멀웨어 발견. 맥크래시(MCCrash)라는 이름을 붙임. 해킹포럼/다크넷에서 판매되는 서비스로 제작된 패킷을 사용하여, 사설 마인크래프트 서버를 타겟으로 하도록 만들어짐. 특히나 자바 서버. 일부 게이머들의 문제라고 생각할 수 있음. 그러나 ... 해당 봇넷은 윈도우, 리눅스, IoT 등을 감염시킨 후에 마인크래프트 서버를 공격하는 것임. 즉, 윈도우 및 리눅스 장비의 탐지 기술을 우회하여 감염시킬 수 있음 게다가, 감염 시 SSH 크리덴셜의 무작위 대입을 통해 네트워크 내 다른 시스템으로 자체 확산됨. [과정] 1. 피해자가 Windows 라이센스 다운로드 ( KMS 툴) 2. 툴에는 'svchost.exe'를 다운로드하는 악성 ..

지방 모 대학의 CCTV가 인터넷에 공개됨. KISA는 교육부에 해당 사실을 제보했으나, 5일 째 방치되고 있음. 영상이 공유된 포럼은 작년에 크게 이슈되었던 '아파트 월패드 해킹'이 확산된 곳의 후속사이트. → 여전히 CCTV 관리가 미흡 시간이 오래 걸릴 작업이 아닌데도 여전히 노출되고 있음. 이런 유출은 IP 카메라에 비밀번호 설정만 해도 위험을 줄일 수 있음. 즉, 최소한의 보안조치도 해두지 않은 것. 사이버 보안에 대한 의식 함양이 절실함. 해당 기사 링크(네이버뉴스)

보안이슈 짧은 요약 1) 미국의 암호화폐 거래소 Gemini에서 고객의 개인정보가 유출 2) 해킹포럼에서 570만 사용자의 전화번호, 이메일주소가 포함된 데이터베이스를 판매하겠다는 게시글이 올라옴. 3) 해당 거래소 고객들은 피싱 캠페인의 표적이 됨 4) Gemini의 계정 정보와 시스템은 영향을 받지 않았다고 발표 5) 또한 Gemini계정과 연결된 이메일 주소를 변경하고, 2FA 활성화/하드웨어 보안 키 사용을 권고 해당 기사 링크 (BleepingComputer)

미국 CISA가 Veeam의 백업 제품에서 발견된 취약점을 KEV에 추가함. ＃CISA: Cybersecurity and Infrastructure Security Agency ＃KEV: Known Exploited Vulnerabilities 해당 취약점은 CVE-2022-26500 및 CVE-2022-26501. 익스플로잇에 성공 시, 인증되지 않은 공격자가 원격에서 임의 코드 실행을 할 수 있으며, 초고위험도 수준이라고 평가됨. Veeam은 3월에 해당 보안 패치를 배포했으나, 패치를 적용하지 않은 사용자들이 다수. 영향받은 제품은 폭스바겐(Volkswagen), 지멘스(Siemens), 딜로이트(Deloitte), 셸(Shell), 푸마(Puma) 등 많은 기업이 사용하고 있다고 함. 특히나 익스..

- 최근 EDR 등의 솔루션 이용하여 엔드포인트 보안을 강화하는 기업이 증가 - 현재 멀웨어 위주의 공격환경에서 새로운 유형으로 공격을 확대할 것으로 예상. - 그래도 엔드포인트 보호 기술은 걸음마 단계이기에, 멀웨어 사용한 공격도 지속될 것으로 보임. 2023년 해킹 공격 전망 1. 멀웨어의 발전 - EDR 기술이 진화한다고 해서 멀웨어어를 포기하지는 않을 것임. 멀웨어도 함께 진화하여 EDR을 우회하려 할 것. - 실제로 해킹포럼에서 EDR 탐지 원리를 분석하고 우회하기 위한 연구가 진행되고 있음. 2. 공급망 공격 - 프로그램을 직접 개발해 사용하지 않고 타 회사의 프로그램을 사용하는 경우, 프로그램의 소스코드를 검증할 수 없는 위험이 발생 - 프로그램 제조사를 해킹한 후 업데이트/설치파일에 멀웨어..

EDR 및 AV 소프트웨어의 데이터 삭제 기능을 악용하여 데이터 와이퍼로 활용하는 방법이 발견됨. 해당 SW들의 데이터 삭제는 보안 솔루션으로서의 정상적인 기능이기에, 탐지를 우회하기에 효과적임. ＃데이터 와이퍼: 감염된 시스템 데이터를 의도적으로 지우거나 손상시키고, 피해자가 데이터를 복구할 수 없도록 만드는 특수한 유형의 파괴적인 멀웨어. [정상적인 기능] - 컴퓨터의 파일 시스템에서 악성 파일을 지속적으로 검색, 탐지 시 해당 파일 검역/삭제 - 실시간 보호 활성화 시 파일이 생성될 때 자동으로 검색되어 파일의 악성 여부 확인, 악의적인 경우 검역/삭제 악성 파일 발견 시 발생하는 두 이벤트의 공통적인 특징을 악용할 수 있다면, 공격자가 특정한 데이터를 삭제하도록 방향을 유도할 수 있을 것. >>t..