Offcanvas

���������

"애플 M1 및 A14 칩에서 새 취약점 '아주리' 발견"

3곳의 대학교 연구팀이 맥과 아이폰, 아이패드에 탑재된 애플 실리콘에서 새로운 취약점을 발견했다. 연구팀은 해당 취약점이 “아직은 심각하지 않다”라고 설명했다.   연구진에 따르면 ‘아주리(Augury)’라고 이름 붙여진 취약점은 애플 칩의 DMP(Data-Memory Dependent Prefetcher)에서 발견됐다. DMP는 메모리를 점검해 무엇을 프리페치(prefetch)할지 결정한다. 연구팀은 애플의 M1 및 A14 칩을 사용한 데스트에서 DMP가 작동하지 않는 동안에도 데이터가 유출되는 것을 확인했다. 연구원 데이비드 콜브레너는 아주리 결함에 대해 다음과 같은 트윗을 남겼다.   “기존 프리페처는 액세스된 이전 주소의 스트림만을 살펴보는데, DMP는 이전에 미리 추출한 메모리의 내용도 검토한다. 본질적으로 DMP의 결정에 따라 메모리 내용에 대한 무언가가 드러나게 된다.” 아주리 결함은 A14, M1, M1 맥스 프로세서에서 발견됐다. 구형 A 시리즈 칩과 M1 프로 및 M1 울트라도 영향을 받을 수 있지만, 연구팀이 공식적으로 밝힌 바는 없다. 인텔 기반 맥은 해당 취약점의 영향을 받지 않는다. 애플도 아주리 결함을 인지하고 있으나 아직 수정하지는 않았다. 연구팀은 해당 취약점이 악용된 사례는 발견하지 못했다. 이번 취약점을 발견한 일리노이 대학교 어바나 샴페인, 워싱턴 대학교, 텔아비브 대학교 연구팀은 홈페이지와 논문을 통해 취약점에 대한 정보와 FAQ를 제공하고 있다. 콜브레너는 홈페이지에 게재된 기술적인 사항에 대해 다음과 같이 설명했다.   이를 악용한 공격이 문제가 되는 이유는 다른 마이크로아키텍처 공격에 대한 하드웨어/소프트웨어의 방어적 접근 방식 대부분에 기밀사항에 접근하는 일부 명령이 있다고 가정하기 때문이다. 기밀에 대한 접근 발생을 중지하거나 기밀 전송을 방지을 수 있지만, 미사용 데이터에는 이런 속성이 없으므로 다른 방법으로 완화해야 한다.  좋은 소식은 이 취...

애플 취약점 아주리

2022.05.06

3곳의 대학교 연구팀이 맥과 아이폰, 아이패드에 탑재된 애플 실리콘에서 새로운 취약점을 발견했다. 연구팀은 해당 취약점이 “아직은 심각하지 않다”라고 설명했다.   연구진에 따르면 ‘아주리(Augury)’라고 이름 붙여진 취약점은 애플 칩의 DMP(Data-Memory Dependent Prefetcher)에서 발견됐다. DMP는 메모리를 점검해 무엇을 프리페치(prefetch)할지 결정한다. 연구팀은 애플의 M1 및 A14 칩을 사용한 데스트에서 DMP가 작동하지 않는 동안에도 데이터가 유출되는 것을 확인했다. 연구원 데이비드 콜브레너는 아주리 결함에 대해 다음과 같은 트윗을 남겼다.   “기존 프리페처는 액세스된 이전 주소의 스트림만을 살펴보는데, DMP는 이전에 미리 추출한 메모리의 내용도 검토한다. 본질적으로 DMP의 결정에 따라 메모리 내용에 대한 무언가가 드러나게 된다.” 아주리 결함은 A14, M1, M1 맥스 프로세서에서 발견됐다. 구형 A 시리즈 칩과 M1 프로 및 M1 울트라도 영향을 받을 수 있지만, 연구팀이 공식적으로 밝힌 바는 없다. 인텔 기반 맥은 해당 취약점의 영향을 받지 않는다. 애플도 아주리 결함을 인지하고 있으나 아직 수정하지는 않았다. 연구팀은 해당 취약점이 악용된 사례는 발견하지 못했다. 이번 취약점을 발견한 일리노이 대학교 어바나 샴페인, 워싱턴 대학교, 텔아비브 대학교 연구팀은 홈페이지와 논문을 통해 취약점에 대한 정보와 FAQ를 제공하고 있다. 콜브레너는 홈페이지에 게재된 기술적인 사항에 대해 다음과 같이 설명했다.   이를 악용한 공격이 문제가 되는 이유는 다른 마이크로아키텍처 공격에 대한 하드웨어/소프트웨어의 방어적 접근 방식 대부분에 기밀사항에 접근하는 일부 명령이 있다고 가정하기 때문이다. 기밀에 대한 접근 발생을 중지하거나 기밀 전송을 방지을 수 있지만, 미사용 데이터에는 이런 속성이 없으므로 다른 방법으로 완화해야 한다.  좋은 소식은 이 취...

2022.05.06

구글, 맥용 크롬 긴급 업데이트 발표··· "자바스크립트 엔진 취약점 수정"

맥용 크롬 웹 브라우저가 업데이트됐다. 구글의 크롬 릴리즈(Chrome Releases) 블로그에 따르면 긴급 업데이트에는 구글이 지난 3월 23일 제보 받은 단일 보안 수정사항을 포함하고 있다. 이는 CVE(Common Vulnerabilities and Exposures) 시스템에 CVE-2022-1096으로 기록됐다.  CVE-2022-1096은 이 회사가 올해 들어 크롬에서 수정한 두 번째 제로데이 취약점이다. 구글은 "CVE-2022-1096 익스플로잇이 실제로 존재한다는 사실을 알고 있다"라고 밝혔다. 하지만 정책에 따라 대부분의 사용자가 업데이트를 설치할 때까지 버그의 세부사항을 공개하지 않는다고 전했다. 익명의 외부 연구진은 크롬의 자바스크립트 엔진에서 취약점이 발견됐으며, 이 취약점을 활용한 공격이 실제로 존재한다고 보고했다.  해당 업데이트의 라벨은 버전 99.0.4844.84다. 크롬을 업데이트하려면 브라우저를 실행하고, 크롬 메뉴를 클릭한 후 구글 크롬 정보를 선택한다. 크롬 설정의 크롬 정보 섹션을 열면 기본 창에 사용 중인 크롬 버전 정보와 업데이트 확인 기능이 표시된다. 그다음 '다시 시작(Cilck Relaunch)'를 클릭하여 업데이트를 설치한다.  한편 이번 보안 업데이트는 크롬이 스피도미터(Speedometer) 브라우저 테스트에서 최고 점수를 기록했다고 구글이 발표한 지 약 3주 만에 이뤄졌다. 크롬은 300점으로, 사파리 15.4(Safari 15.4)를 13점 차로 앞섰다. 애플의 베타 버전 브라우저 '사파리 테크놀로지 프리뷰(Safari Technology Preview)'와 비교하면 3점 차에 불과했다. ciokr@idg.co.kr 

구글 크롬 브라우저 취약점 제로데이

2022.03.29

맥용 크롬 웹 브라우저가 업데이트됐다. 구글의 크롬 릴리즈(Chrome Releases) 블로그에 따르면 긴급 업데이트에는 구글이 지난 3월 23일 제보 받은 단일 보안 수정사항을 포함하고 있다. 이는 CVE(Common Vulnerabilities and Exposures) 시스템에 CVE-2022-1096으로 기록됐다.  CVE-2022-1096은 이 회사가 올해 들어 크롬에서 수정한 두 번째 제로데이 취약점이다. 구글은 "CVE-2022-1096 익스플로잇이 실제로 존재한다는 사실을 알고 있다"라고 밝혔다. 하지만 정책에 따라 대부분의 사용자가 업데이트를 설치할 때까지 버그의 세부사항을 공개하지 않는다고 전했다. 익명의 외부 연구진은 크롬의 자바스크립트 엔진에서 취약점이 발견됐으며, 이 취약점을 활용한 공격이 실제로 존재한다고 보고했다.  해당 업데이트의 라벨은 버전 99.0.4844.84다. 크롬을 업데이트하려면 브라우저를 실행하고, 크롬 메뉴를 클릭한 후 구글 크롬 정보를 선택한다. 크롬 설정의 크롬 정보 섹션을 열면 기본 창에 사용 중인 크롬 버전 정보와 업데이트 확인 기능이 표시된다. 그다음 '다시 시작(Cilck Relaunch)'를 클릭하여 업데이트를 설치한다.  한편 이번 보안 업데이트는 크롬이 스피도미터(Speedometer) 브라우저 테스트에서 최고 점수를 기록했다고 구글이 발표한 지 약 3주 만에 이뤄졌다. 크롬은 300점으로, 사파리 15.4(Safari 15.4)를 13점 차로 앞섰다. 애플의 베타 버전 브라우저 '사파리 테크놀로지 프리뷰(Safari Technology Preview)'와 비교하면 3점 차에 불과했다. ciokr@idg.co.kr 

2022.03.29

FCC, BGP 취약점 조사 착수 “러시아발 위협 대응 차원”

FCC가 BGP (Border Gateway Protocol)에 대한 심층 조사에 착수했다. 인터넷 상의 각종 상호 연결을 관리하는 데 널리 사용되는 표준인 이 핵심 인터넷 라우팅 프로토콜이 러시아 등의 국가로부터 잠재적 위협을 초래할 가능성이 제기되기 때문이다. 위원회의 발표에 따르면 지난 28일 발표된 이번 조치는 “우크라이나 내에서 러시아의 증가하는 행동”에 대한 대응의 일환이다.  BGP는 본질적으로 글로벌 인터넷을 구성하는 독립적으로 관리되는 네트워크가 서로 통신할 수 있도록 하는 방법이다. FCC에 따르면 이 프로토콜은 오늘날에도 널리 활용되고 있음에도 불구하고 근간 설계에 중요한 보안 기능이 포함돼 있지 않다. 즉 악의적인 행위자가 인터넷 트래픽을 리디렉션할 가능성을 내포하며, 결과적으로 대상에 잘못된 정보를 보내거나 로그인 자격 증명을 읽고 손상시키거나 원하는 트래픽 종류를 차단하는 등의 공격이 가능할 수 있다.  FCC는 BGP 해킹의 잠재적인 결과가 극심할 수 있으며, 이러한 공격이 일으킬 수 있는 네트워크 유형에는 금융 시장, 운송 및 유틸리티 시스템과 같은 주요 인프라가 포함된다고 전했다.  한편 BGP를 위한 보안 프레임워크는 이미 존재한다. IETF(Internet Engineering Task Force)와 NIST(National Institute of Standards and Technology)가 BGP를 보다 안전하게 만들기 위해 여러 표준을 만들었다. FCC는 그러나 많은 네트워크가 여전히 취약한 상태로 남아 있다고 지적했다.  FCC는 BGP에 대한 악의적인 공격으로 인해 발생할 수 있는 가능한 피해 식별, BGP 공격에 대한 모니터링 방법 및 BGP에 대한 보안 표준 배포를 가속화할 방안 등을 탐색하고 있다고 전했다.  BGP 하이재킹으로 인한 피해 사례는 예전에도 있었다. 2020년 4월 구글, 페이스북, 아마존 등의 일부 트래픽이 러시아 국영 ISP 로스텔레콤을 ...

러시아 우크라이나 BGP FCC 취약점

2022.03.02

FCC가 BGP (Border Gateway Protocol)에 대한 심층 조사에 착수했다. 인터넷 상의 각종 상호 연결을 관리하는 데 널리 사용되는 표준인 이 핵심 인터넷 라우팅 프로토콜이 러시아 등의 국가로부터 잠재적 위협을 초래할 가능성이 제기되기 때문이다. 위원회의 발표에 따르면 지난 28일 발표된 이번 조치는 “우크라이나 내에서 러시아의 증가하는 행동”에 대한 대응의 일환이다.  BGP는 본질적으로 글로벌 인터넷을 구성하는 독립적으로 관리되는 네트워크가 서로 통신할 수 있도록 하는 방법이다. FCC에 따르면 이 프로토콜은 오늘날에도 널리 활용되고 있음에도 불구하고 근간 설계에 중요한 보안 기능이 포함돼 있지 않다. 즉 악의적인 행위자가 인터넷 트래픽을 리디렉션할 가능성을 내포하며, 결과적으로 대상에 잘못된 정보를 보내거나 로그인 자격 증명을 읽고 손상시키거나 원하는 트래픽 종류를 차단하는 등의 공격이 가능할 수 있다.  FCC는 BGP 해킹의 잠재적인 결과가 극심할 수 있으며, 이러한 공격이 일으킬 수 있는 네트워크 유형에는 금융 시장, 운송 및 유틸리티 시스템과 같은 주요 인프라가 포함된다고 전했다.  한편 BGP를 위한 보안 프레임워크는 이미 존재한다. IETF(Internet Engineering Task Force)와 NIST(National Institute of Standards and Technology)가 BGP를 보다 안전하게 만들기 위해 여러 표준을 만들었다. FCC는 그러나 많은 네트워크가 여전히 취약한 상태로 남아 있다고 지적했다.  FCC는 BGP에 대한 악의적인 공격으로 인해 발생할 수 있는 가능한 피해 식별, BGP 공격에 대한 모니터링 방법 및 BGP에 대한 보안 표준 배포를 가속화할 방안 등을 탐색하고 있다고 전했다.  BGP 하이재킹으로 인한 피해 사례는 예전에도 있었다. 2020년 4월 구글, 페이스북, 아마존 등의 일부 트래픽이 러시아 국영 ISP 로스텔레콤을 ...

2022.03.02

현상금 100억 원도 나왔다··· 버그 바운티에 열 올리는 암호화폐 업계

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

암호화폐 버그 현상금 버그바운티 취약점 블록체인 크립토닷컴 큐빗 파이낸스 탈중앙화 금융 디파이 이더리움 해킹 웹3 버그 해커 화이트 해커 포상금 현상금

2022.02.21

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

2022.02.21

태니엄, 단일 플랫폼으로 최신 리눅스 취약점 위협 방어한다

태니엄이 최근 발표된 리눅스 폴킷(polkit) 취약점과 관련해 태니엄 패치(Patch) 및 컴플라이(Comply) 모듈의 자동화 기능을 활용하면 실시간으로 취약한 단말을 평가하고 파악할 수 있다고 밝혔다. 아울러 패치를 통해 위협에도 효과적으로 대응할 수 있다고 덧붙였다. 지난 1월 25일 리눅스 폴킷의 권한 상승 관련 취약점(CVE-2021-4034)이 공개됐다. 폴킷은 고위험군으로 분류되는 CVSS(Common Vulnerability Scoring System) 7.8을 기록한 취약점으로 2009년부터 거의 모든 리눅스 배포판에 노출돼 있는 것으로 보고됐다. 이번 취약점의 가장 중요한 실행 파일인 pkexec는 권한 없는 사용자가 미리 정의된 정책에 따라 자격을 갖춘 사용자 계정으로 명령을 실행할 수 있도록 설계된 setuid 도구다. 공격자는 pkexec의 임의 코드 실행 유도 방식으로 환경 변수를 조작해 이를 활용할 수 있으며, 공격이 성공할 경우 시스템에서 루트권한으로 사용자 계정 생성, 소프트웨어 설치, 환경 및 설정 변경, 시스템 동작 감시 및 제어 등 핵심적인 제어 업무를 수행할 수 있다. 태니엄은 이번 취약점과 관련해 태니엄 패치 및 컴플라이의 자동화된 기능을 활용해 취약한 단말 평가와 즉시 파악 및 패치를 지원한다. 또 즉시 패치 적용이 불가능한 경우 위험 완화를 적용해 취약한 pkexec 버전 사용 권한 확인에 활용할 수 있는 커스텀 센서(Sensor) 및 패키지(Package)를 제공한다. 태니엄은 취약점 관련 실시간 헌팅으로 현황을 파악하고, 신속하게 패치하며, 추가 취약점 점검을 통해 통계 및 결과를 연계하는 일련의 과정을 하나의 플랫폼에서 제공한다. 회사에 따르면 태니엄 컴플라이는 취약한 리눅스 단말에 대해 확인할 수 있는 자동 리포트를 생성해줌으로서 관리자가 취약한 단말에 대한 지속적인 가시성을 확보할 수 있도록 도와준다. 아울러 앞서 설명한 태니엄에서 제공하는 커스텀 센서를 통해 태니엄의 기본 기능만으로도 해당...

태니엄 리눅스 취약점 패치

2022.02.14

태니엄이 최근 발표된 리눅스 폴킷(polkit) 취약점과 관련해 태니엄 패치(Patch) 및 컴플라이(Comply) 모듈의 자동화 기능을 활용하면 실시간으로 취약한 단말을 평가하고 파악할 수 있다고 밝혔다. 아울러 패치를 통해 위협에도 효과적으로 대응할 수 있다고 덧붙였다. 지난 1월 25일 리눅스 폴킷의 권한 상승 관련 취약점(CVE-2021-4034)이 공개됐다. 폴킷은 고위험군으로 분류되는 CVSS(Common Vulnerability Scoring System) 7.8을 기록한 취약점으로 2009년부터 거의 모든 리눅스 배포판에 노출돼 있는 것으로 보고됐다. 이번 취약점의 가장 중요한 실행 파일인 pkexec는 권한 없는 사용자가 미리 정의된 정책에 따라 자격을 갖춘 사용자 계정으로 명령을 실행할 수 있도록 설계된 setuid 도구다. 공격자는 pkexec의 임의 코드 실행 유도 방식으로 환경 변수를 조작해 이를 활용할 수 있으며, 공격이 성공할 경우 시스템에서 루트권한으로 사용자 계정 생성, 소프트웨어 설치, 환경 및 설정 변경, 시스템 동작 감시 및 제어 등 핵심적인 제어 업무를 수행할 수 있다. 태니엄은 이번 취약점과 관련해 태니엄 패치 및 컴플라이의 자동화된 기능을 활용해 취약한 단말 평가와 즉시 파악 및 패치를 지원한다. 또 즉시 패치 적용이 불가능한 경우 위험 완화를 적용해 취약한 pkexec 버전 사용 권한 확인에 활용할 수 있는 커스텀 센서(Sensor) 및 패키지(Package)를 제공한다. 태니엄은 취약점 관련 실시간 헌팅으로 현황을 파악하고, 신속하게 패치하며, 추가 취약점 점검을 통해 통계 및 결과를 연계하는 일련의 과정을 하나의 플랫폼에서 제공한다. 회사에 따르면 태니엄 컴플라이는 취약한 리눅스 단말에 대해 확인할 수 있는 자동 리포트를 생성해줌으로서 관리자가 취약한 단말에 대한 지속적인 가시성을 확보할 수 있도록 도와준다. 아울러 앞서 설명한 태니엄에서 제공하는 커스텀 센서를 통해 태니엄의 기본 기능만으로도 해당...

2022.02.14

“로그4j, 오픈소스가 문제 아니다”

기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다.  사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)의 책임자 트레이 허 박사는 이번 주 개최된 美 상원 국토 안보 및 정부위(US Senate Committee on Homeland Security&Government Affairs)의 청문회에서 “오픈소스는 문제가 아니다”라고 밝혔다. 그는 “소프트웨어 공급망 보안 문제는 수년 동안 사이버 정책 커뮤니티를 괴롭혀왔다”라고 말했다.  업계 전문가들은 로그4j 결함과 그 영향을 해결하기 위해서는 장기적인 투쟁을 해야 할 것으로 예측해왔다. 이를테면 시스코 탈로스(Cisco Talos)의 보안 연구진은 앞으로 로그4j가 널리 악용될 것이며, 사용자는 영향을 받는 제품을 패치하고 가능한 한 빨리 완화 솔루션을 구현해야 한다고 권고했다.    자바 로그 소프트웨어는 클라이언트/서버 애플리케이션 개발을 지원하는 사용하기 쉬운 공통 유틸리티로, 기업 및 소비자 서비스, 웹 사이트 및 애플리케이션에서 널리 사용된다. 이것이 악용되면 로그4j 취약점을 통해 인증되지 않은 원격 행위자가 영향을 받는 서버 시스템을 제어하고 회사 정보에 액세스하거나 DoS 공격을 발생시킬 수 있다. 상원 패널은 업계의 대응과 향후 소프트웨어 위험 노출을 막기 위한 방법을 모색하고자 전문가들을 호출했다. 로그4j는 오픈소스 소프트웨어에서 발견됐기 때문에 전문가들은 중요한 플랫폼에서 오픈소스 소프트웨어의 사용을 검토하는 데 많은 시간을 할애했다.  위원회 의장이자 민주당 상원의원인 개리 피터스는 “12자만 입력하면 악용될 수 있는 로그4j 취약점은 오픈소스 코드, 즉 개인에 의해 개발되고 자유롭게 사용 가능한 코드에서 발견되는 취약점을 포함하여 소프트웨어 취약점이 얼마나 널리 퍼져 있는지 보여주는 한 가...

로그4j Log4j 로그4셸 오픈소스 아파치 시스코 팔로알토 자바 취약점

2022.02.10

기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다.  사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)의 책임자 트레이 허 박사는 이번 주 개최된 美 상원 국토 안보 및 정부위(US Senate Committee on Homeland Security&Government Affairs)의 청문회에서 “오픈소스는 문제가 아니다”라고 밝혔다. 그는 “소프트웨어 공급망 보안 문제는 수년 동안 사이버 정책 커뮤니티를 괴롭혀왔다”라고 말했다.  업계 전문가들은 로그4j 결함과 그 영향을 해결하기 위해서는 장기적인 투쟁을 해야 할 것으로 예측해왔다. 이를테면 시스코 탈로스(Cisco Talos)의 보안 연구진은 앞으로 로그4j가 널리 악용될 것이며, 사용자는 영향을 받는 제품을 패치하고 가능한 한 빨리 완화 솔루션을 구현해야 한다고 권고했다.    자바 로그 소프트웨어는 클라이언트/서버 애플리케이션 개발을 지원하는 사용하기 쉬운 공통 유틸리티로, 기업 및 소비자 서비스, 웹 사이트 및 애플리케이션에서 널리 사용된다. 이것이 악용되면 로그4j 취약점을 통해 인증되지 않은 원격 행위자가 영향을 받는 서버 시스템을 제어하고 회사 정보에 액세스하거나 DoS 공격을 발생시킬 수 있다. 상원 패널은 업계의 대응과 향후 소프트웨어 위험 노출을 막기 위한 방법을 모색하고자 전문가들을 호출했다. 로그4j는 오픈소스 소프트웨어에서 발견됐기 때문에 전문가들은 중요한 플랫폼에서 오픈소스 소프트웨어의 사용을 검토하는 데 많은 시간을 할애했다.  위원회 의장이자 민주당 상원의원인 개리 피터스는 “12자만 입력하면 악용될 수 있는 로그4j 취약점은 오픈소스 코드, 즉 개인에 의해 개발되고 자유롭게 사용 가능한 코드에서 발견되는 취약점을 포함하여 소프트웨어 취약점이 얼마나 널리 퍼져 있는지 보여주는 한 가...

2022.02.10

맨디언트, SaaS 플랫폼에 '공격 표면 취약점 관리' 솔루션 통합 완료

맨디언트가 지난 2021년 8월 인트리그를 인수하며 제공하게 된 '공격 표면 취약점 관리(Mandiant Advantage Attack Surface Management; ASM)' 솔루션을 맨디언트 어드밴티지 SaaS 플랫폼으로 통합 완료했다고 2월 4일 발표했다.  이제 맨디언트 어드밴티지 플랫폼에서 공격 표면 취약점 관리(ASM) 기능을 사용할 수 있으며, 이를 통해 전체 디지털 운영 환경을 심층적으로 이해하고 공격자가 가장 많이 공략할 수 있는 취약점에 집중할 수 있게 됐다고 업체 측은 설명했다. 이러한 인사이트를 갖추면, 조직은 사이버 보안에 사전 예방적으로 접근하는 동시에 새로운 위협에 대한 노출 위험을 줄여 안심하고 조직 환경을 운영할 수 있다고 덧붙였다. 클라우드로의 급격한 전환, 커넥티드 디바이스 도입 가속화, 분산된 근무 환경으로 인해 IT 관리 대상이 진화했고, 이는 복잡한 위협의 증가로 이어지고 있다. 기존의 무분별한 자산의 확장, 알려지지 않은 자산 및 쉐도우 애플리케이션(shadow application) 등 공격자가 대상으로 목표할 수 있는 전체 공격 표면을 파악하지 못하면 조직은 스스로가 위험에 처해 있는지 식별할 수조차 없고, 따라서 보안 공백을 해소할 수 없다. 회사에 따르면 공격 표면 취약점 관리는 조직이 공격자의 시점에서 디지털 흔적을 살펴볼 수 있도록 함으로써 이러한 문제를 해결하도록 설계됐다. 맨디언트 어드밴티지 ASM의 종합 자동화 모듈은 동적, 분산, 클라우드 환경에 맞춰 설계됐으며, 최신 위협 환경을 기반으로 지속적인 모니터링과 주요 취약점 관리를 시행하면서 전반적 위협 현황에 대한 폭넓은 가시성을 제공한다. 그 결과, 조직은 조직에 대한 위험에 대해 즉각적이고 실행 가능한 인사이트를 얻을 수 있다. 또한, 이를 보안 프로그램, 타사의 보안 툴, 외부 데이터 세트까지 확장적으로 통합 및 연계할 수 있어 위험을 더욱 줄일 수 있다고 업체 측은 전했다. 맨디언트 어드밴티지 제품사업부 수석부사장(SVP) ...

맨디언트 SaaS 공격 표면 취약점

2022.02.04

맨디언트가 지난 2021년 8월 인트리그를 인수하며 제공하게 된 '공격 표면 취약점 관리(Mandiant Advantage Attack Surface Management; ASM)' 솔루션을 맨디언트 어드밴티지 SaaS 플랫폼으로 통합 완료했다고 2월 4일 발표했다.  이제 맨디언트 어드밴티지 플랫폼에서 공격 표면 취약점 관리(ASM) 기능을 사용할 수 있으며, 이를 통해 전체 디지털 운영 환경을 심층적으로 이해하고 공격자가 가장 많이 공략할 수 있는 취약점에 집중할 수 있게 됐다고 업체 측은 설명했다. 이러한 인사이트를 갖추면, 조직은 사이버 보안에 사전 예방적으로 접근하는 동시에 새로운 위협에 대한 노출 위험을 줄여 안심하고 조직 환경을 운영할 수 있다고 덧붙였다. 클라우드로의 급격한 전환, 커넥티드 디바이스 도입 가속화, 분산된 근무 환경으로 인해 IT 관리 대상이 진화했고, 이는 복잡한 위협의 증가로 이어지고 있다. 기존의 무분별한 자산의 확장, 알려지지 않은 자산 및 쉐도우 애플리케이션(shadow application) 등 공격자가 대상으로 목표할 수 있는 전체 공격 표면을 파악하지 못하면 조직은 스스로가 위험에 처해 있는지 식별할 수조차 없고, 따라서 보안 공백을 해소할 수 없다. 회사에 따르면 공격 표면 취약점 관리는 조직이 공격자의 시점에서 디지털 흔적을 살펴볼 수 있도록 함으로써 이러한 문제를 해결하도록 설계됐다. 맨디언트 어드밴티지 ASM의 종합 자동화 모듈은 동적, 분산, 클라우드 환경에 맞춰 설계됐으며, 최신 위협 환경을 기반으로 지속적인 모니터링과 주요 취약점 관리를 시행하면서 전반적 위협 현황에 대한 폭넓은 가시성을 제공한다. 그 결과, 조직은 조직에 대한 위험에 대해 즉각적이고 실행 가능한 인사이트를 얻을 수 있다. 또한, 이를 보안 프로그램, 타사의 보안 툴, 외부 데이터 세트까지 확장적으로 통합 및 연계할 수 있어 위험을 더욱 줄일 수 있다고 업체 측은 전했다. 맨디언트 어드밴티지 제품사업부 수석부사장(SVP) ...

2022.02.04

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

보안 CSO CISO ARM 랜섬웨어 워너크라이 취약점 패치 회복탄력성

2022.01.24

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

러스트 1.58.1 공개··· “취약한 경합 조건 수정”

개발팀에 따르면 공격자는 이 취약점을 통해 권한 있는 프로그램을 속여 액세스하거나, 삭제할 수 없는 파일 및 디렉토리를 제거할 수 있다.    러스트 1.58에 이어 지난 1월 20일 공개된 이 포인트 릴리즈는 std::fs::remove_dir_all 표준 라이브러리 함수의 경합 조건(race condition)을 수정했다. 개발팀은 해당 취약점이 CVE-2022-21658로 지정됐다고 밝히면서 권고사항을 게시했다.  이 보안 문제를 통해 공격자는 권한 있는 프로그램을 속여 액세스하거나, 삭제할 수 없는 파일 및 디렉토리를 제거할 수 있다. 러스트 버전 1.0.0~1.58.0은 이 취약점의 영향을 받는다. 사용자는 툴체인을 업데이트하고, 업데이트된 컴파일러로 프로그램을 빌드하는 게 좋다고 개발팀은 권장했다.  또한 러스트 1.58.1은 러스트 1.58에서 도입된 진단 및 도구의 여러 회귀를 해결한다.  • non_send_fields_in_send_ty 클리피 린트(Clippy lint)는 오탐(false positives)이 너무 많은 것으로 확인돼 ‘nursery’라는 실험적 린트 그룹으로 이동됐다.  • useless_format 클리피 린트가 러스트 1.58에 도입된 형식 문자열에서 캡처된 식별자를 처리하도록 업데이트됐다.  • 표준 입력을 통해 전달될 때 생성된 파일이 형식화되는 것을 방지하는 Rustfmt의 회귀가 수정됐다.  • 경우에 따라 rustc에서 잘못된 오류 메시지가 표시되는 문제가 수정됐다.  ciokr@idg.co.kr

러스트 개발자 프로그래밍 언어 개발 언어 취약점

2022.01.24

개발팀에 따르면 공격자는 이 취약점을 통해 권한 있는 프로그램을 속여 액세스하거나, 삭제할 수 없는 파일 및 디렉토리를 제거할 수 있다.    러스트 1.58에 이어 지난 1월 20일 공개된 이 포인트 릴리즈는 std::fs::remove_dir_all 표준 라이브러리 함수의 경합 조건(race condition)을 수정했다. 개발팀은 해당 취약점이 CVE-2022-21658로 지정됐다고 밝히면서 권고사항을 게시했다.  이 보안 문제를 통해 공격자는 권한 있는 프로그램을 속여 액세스하거나, 삭제할 수 없는 파일 및 디렉토리를 제거할 수 있다. 러스트 버전 1.0.0~1.58.0은 이 취약점의 영향을 받는다. 사용자는 툴체인을 업데이트하고, 업데이트된 컴파일러로 프로그램을 빌드하는 게 좋다고 개발팀은 권장했다.  또한 러스트 1.58.1은 러스트 1.58에서 도입된 진단 및 도구의 여러 회귀를 해결한다.  • non_send_fields_in_send_ty 클리피 린트(Clippy lint)는 오탐(false positives)이 너무 많은 것으로 확인돼 ‘nursery’라는 실험적 린트 그룹으로 이동됐다.  • useless_format 클리피 린트가 러스트 1.58에 도입된 형식 문자열에서 캡처된 식별자를 처리하도록 업데이트됐다.  • 표준 입력을 통해 전달될 때 생성된 파일이 형식화되는 것을 방지하는 Rustfmt의 회귀가 수정됐다.  • 경우에 따라 rustc에서 잘못된 오류 메시지가 표시되는 문제가 수정됐다.  ciokr@idg.co.kr

2022.01.24

로그프레소, 공공기관 대상 ‘로그4j 취약점 대응 프로모션’ 진행

로그프레소가 1월 14일 조달 총판 아이티윈과 함께 공공기관을 대상으로 ‘로그4j 취약점 대응 프로모션’을 진행한다고 밝혔다. 로그4j는 인터넷 서비스 운영과 유지 관리를 위해 서비스 동작 과정에서 일어나는 모든 기록을 관리할 수 있는 프로그램이다. 지난 해 말 취약점이 공개된 이후로 세계적으로 수많은 공격 시도가 발행했으며, 2022년에도 가장 주의해야 하는 보안 위협으로 꼽힌다. 회사에 따르면 로그프레소는 나라장터에서 ‘로그프레소 3.0’ 구매하는 공공기관에 전용 스캐너와 취약점 노출현황 대시보드를 제공하고, 대응 컨설팅 서비스를 무상으로 제공한다. 자체 기술로 개발한 로그프레소 로그4j 대응 스캐너는 고객의 IT 자산이 취약점에 얼마나 어떻게 노출되어 있는지 현황을 면밀하게 파악할 수 있게 지원한다. 공공기관의 로그4j 취약점 대응을 지원하고, 대응할 수 있는 방안을 수립할 수 있도록 돕는 것이 이번 프로모션의 취지이다. 로그프레소 양봉열 대표는 “아직 국내에서 관련 침해사고가 발생하지는 않았으나 단기간 동안 여러 종류의 취약점이 연달아 발견됐다”라며, “중국을 비롯한 이란, 북한 ,터키 등의 해킹그룹이 공격활동을 하고 있는 것으로 관측되는 가운데 로그4j 사용 여부 자체를 제대로 파악하지 못할 경우에 대응이 힘들어질 수 있다”라고 말했다. 로그프레소는 2021년 12월 11일 로그4j 대응 스캐너 첫 버전을 공개한 이후, 발견된 취약점과 해킹 여부를 확인할 수 있도록 적극 지원하고 있다. 현재 해당 스캐너는 마이크로소프트, 델, VM웨어, SAS 등 유수의 해외 소프트웨어 업체의 보안권고문에 포함될 만큼 신뢰성을 인정받고 있다고 업체 측은 설명했다. 더불어 로그4j2와 로그4j1 및 로그백 제품의 취약점 이슈까지 점검 가능하다고 업체 측은 설명했다. 로그프레소 구동언 상무는 “해당 취약점 이슈에 대응하기 위해서는 조직 IT 자산에서 로그4j를 사용하고 있는지 정확히 파악하는 것이 우선”이라며, “이번 프로모션으로 로그4j 취약점...

로그프레소 로그4j 취약점 아이티원

2022.01.14

로그프레소가 1월 14일 조달 총판 아이티윈과 함께 공공기관을 대상으로 ‘로그4j 취약점 대응 프로모션’을 진행한다고 밝혔다. 로그4j는 인터넷 서비스 운영과 유지 관리를 위해 서비스 동작 과정에서 일어나는 모든 기록을 관리할 수 있는 프로그램이다. 지난 해 말 취약점이 공개된 이후로 세계적으로 수많은 공격 시도가 발행했으며, 2022년에도 가장 주의해야 하는 보안 위협으로 꼽힌다. 회사에 따르면 로그프레소는 나라장터에서 ‘로그프레소 3.0’ 구매하는 공공기관에 전용 스캐너와 취약점 노출현황 대시보드를 제공하고, 대응 컨설팅 서비스를 무상으로 제공한다. 자체 기술로 개발한 로그프레소 로그4j 대응 스캐너는 고객의 IT 자산이 취약점에 얼마나 어떻게 노출되어 있는지 현황을 면밀하게 파악할 수 있게 지원한다. 공공기관의 로그4j 취약점 대응을 지원하고, 대응할 수 있는 방안을 수립할 수 있도록 돕는 것이 이번 프로모션의 취지이다. 로그프레소 양봉열 대표는 “아직 국내에서 관련 침해사고가 발생하지는 않았으나 단기간 동안 여러 종류의 취약점이 연달아 발견됐다”라며, “중국을 비롯한 이란, 북한 ,터키 등의 해킹그룹이 공격활동을 하고 있는 것으로 관측되는 가운데 로그4j 사용 여부 자체를 제대로 파악하지 못할 경우에 대응이 힘들어질 수 있다”라고 말했다. 로그프레소는 2021년 12월 11일 로그4j 대응 스캐너 첫 버전을 공개한 이후, 발견된 취약점과 해킹 여부를 확인할 수 있도록 적극 지원하고 있다. 현재 해당 스캐너는 마이크로소프트, 델, VM웨어, SAS 등 유수의 해외 소프트웨어 업체의 보안권고문에 포함될 만큼 신뢰성을 인정받고 있다고 업체 측은 설명했다. 더불어 로그4j2와 로그4j1 및 로그백 제품의 취약점 이슈까지 점검 가능하다고 업체 측은 설명했다. 로그프레소 구동언 상무는 “해당 취약점 이슈에 대응하기 위해서는 조직 IT 자산에서 로그4j를 사용하고 있는지 정확히 파악하는 것이 우선”이라며, “이번 프로모션으로 로그4j 취약점...

2022.01.14

블로그ㅣAD 보안 업데이트에 관해 알아야 할 4가지

여기서 소개할 ‘액티브 디렉토리(Active Directory; AD)’ 업데이트는 권한 우회 및 승격 취약점을 해결한다.  최근 마이크로소프트는 사용자의 조치가 필요한 몇 가지 업데이트를 추가로 릴리즈했다. 마이크로소프트 일본의 보안팀은 지난 2021년 11월에 공개된 몇 가지 업데이트를 문서화했으며, 이에 따르면 액티브 디렉토리(AD)를 보호하기 위해 추가적인 레지스트리 키를 설정하거나 조치를 취해야 한다.    AD 권한 승격 취약점 첫 번째 패치는 공격자가 컴퓨터 계정 스푸핑을 통해 도메인 컨트롤러를 가장할 수 있는 보안 우회 취약점(CVE-2021-42278)을 해결한다. 이 업데이트에서는 사용자가 생성하거나 변경한 컴퓨터 계정의 sAMAccountName 및 UserAccountControl 속성에 관한 유효성 검사가 개선됐다. 이는 도메인 컨트롤러로 가장해서는 안 될 시스템 계정의 관리자 권한을 가지고 있지 않은 사용자를 검토한다. 업데이트 후 사용자 및 컴퓨터 계정에서 다음을 확인하라.  ObjectClass=Computer (or subclass of computer) accounts must have UserAccountControl flags of UF_WORKSTATION_TRUST_ACCOUNT or UF_SERVER_TRUST_ACCOUNT ObjectClass=User must have UAC flags of UF_NORMAL_ACCOUNT or UF_INTERDOMAIN_TRUST_ACCOUNT 다음으로 UserAccountControl에 UF_WORKSTATION_TRUST_ACCOUNT 플래그를 포함한 컴퓨터 계정의 sAMAccountName에 1개의 달러 기호가 있는지 확인한다. 그렇지 않다면 0x523 ERROR_INVALID_ACCOUNTNAME 오류 코드가 시스템 이벤트 로그에서 Directory-Services-SAM event ID 16991로 기록된다. 아울러 보안 계정...

마이크로소픝 액티브 디렉토리 AD 보안 취약점 스푸핑 도메인 컨트롤러 윈도우 윈도우 보안 네트워크 보안

2022.01.07

여기서 소개할 ‘액티브 디렉토리(Active Directory; AD)’ 업데이트는 권한 우회 및 승격 취약점을 해결한다.  최근 마이크로소프트는 사용자의 조치가 필요한 몇 가지 업데이트를 추가로 릴리즈했다. 마이크로소프트 일본의 보안팀은 지난 2021년 11월에 공개된 몇 가지 업데이트를 문서화했으며, 이에 따르면 액티브 디렉토리(AD)를 보호하기 위해 추가적인 레지스트리 키를 설정하거나 조치를 취해야 한다.    AD 권한 승격 취약점 첫 번째 패치는 공격자가 컴퓨터 계정 스푸핑을 통해 도메인 컨트롤러를 가장할 수 있는 보안 우회 취약점(CVE-2021-42278)을 해결한다. 이 업데이트에서는 사용자가 생성하거나 변경한 컴퓨터 계정의 sAMAccountName 및 UserAccountControl 속성에 관한 유효성 검사가 개선됐다. 이는 도메인 컨트롤러로 가장해서는 안 될 시스템 계정의 관리자 권한을 가지고 있지 않은 사용자를 검토한다. 업데이트 후 사용자 및 컴퓨터 계정에서 다음을 확인하라.  ObjectClass=Computer (or subclass of computer) accounts must have UserAccountControl flags of UF_WORKSTATION_TRUST_ACCOUNT or UF_SERVER_TRUST_ACCOUNT ObjectClass=User must have UAC flags of UF_NORMAL_ACCOUNT or UF_INTERDOMAIN_TRUST_ACCOUNT 다음으로 UserAccountControl에 UF_WORKSTATION_TRUST_ACCOUNT 플래그를 포함한 컴퓨터 계정의 sAMAccountName에 1개의 달러 기호가 있는지 확인한다. 그렇지 않다면 0x523 ERROR_INVALID_ACCOUNTNAME 오류 코드가 시스템 이벤트 로그에서 Directory-Services-SAM event ID 16991로 기록된다. 아울러 보안 계정...

2022.01.07

중소기업이 Log4j 취약점에 대응하는 방법

Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 내부 애플리케이션 코딩을 처리하는 대기업의 경우, 직원 중 이 소프트웨어를 사용한 사실을 인지한 코더가 이미 완화 조치에 나섰을 것이다. 내부 애플리케이션의 경우에는 Log4j 소프트웨어를 최신 버전으로 업데이트해야 한다. 반면, 컨설턴트와 중소기업은 Log4j 취약점의 영향을 받는 소프트웨어가 설치된 사실을 모를 수 있다. 보안업체 헌트리스(Huntress)에서 취약성 여부를 판단할 자원을 갖춘 내부 전담 부서가 컨설턴트와 소기업을 위한 자원을 마련해 공개했다.   Log4J 취약성 테스트 도구 헌트리스는 내부 애플리케이션의 취약성 여부를 쉽게 테스트할 수 있는 테스트 도구도 제공한다. 테스트 도구로 생성된 고유 문자열을 사용자 이름, 비밀번호 등 입력이 필요한 위치에 넣으면, 헌트리스 사이트의 테스트 페이지에서 애플리케이션 취약성 여부를 검토할 수 있다. 외부 유출의 증거가 없는 내부 애플리케이션이라면 Log4j 공격에서 안전하다고 보면 된다. 이 테스트는 소유권 또는 계약상 통제권을 직접 소유한 애플리케이션 및 자원에서만 수행해야 한다. 법적 권리가 없는 애플리케이션을 테스트하면 통상적인 인터넷 서비스 제공업체 약관에 위반된다. 헌트리스는 블로그에서 공격자가 이미 이 방식으로 주로 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol, LDAP) 질의를 사용한 시스템 진입을 시도하고 있다고 지적하면서 요청을 생성한 후 사용자에게 알려주는 도구를 제공한다. Log4Shell 사이트의 페이로드를 잘라내 애플리케이션에 붙여넣기만 하면 된다. 헌트리스의 존 해먼드는 취약점의 작동 방식을 보여주는 동영상도 공개했다.     로깅이 포함된 애...

Log4j 취약점

2021.12.20

Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 내부 애플리케이션 코딩을 처리하는 대기업의 경우, 직원 중 이 소프트웨어를 사용한 사실을 인지한 코더가 이미 완화 조치에 나섰을 것이다. 내부 애플리케이션의 경우에는 Log4j 소프트웨어를 최신 버전으로 업데이트해야 한다. 반면, 컨설턴트와 중소기업은 Log4j 취약점의 영향을 받는 소프트웨어가 설치된 사실을 모를 수 있다. 보안업체 헌트리스(Huntress)에서 취약성 여부를 판단할 자원을 갖춘 내부 전담 부서가 컨설턴트와 소기업을 위한 자원을 마련해 공개했다.   Log4J 취약성 테스트 도구 헌트리스는 내부 애플리케이션의 취약성 여부를 쉽게 테스트할 수 있는 테스트 도구도 제공한다. 테스트 도구로 생성된 고유 문자열을 사용자 이름, 비밀번호 등 입력이 필요한 위치에 넣으면, 헌트리스 사이트의 테스트 페이지에서 애플리케이션 취약성 여부를 검토할 수 있다. 외부 유출의 증거가 없는 내부 애플리케이션이라면 Log4j 공격에서 안전하다고 보면 된다. 이 테스트는 소유권 또는 계약상 통제권을 직접 소유한 애플리케이션 및 자원에서만 수행해야 한다. 법적 권리가 없는 애플리케이션을 테스트하면 통상적인 인터넷 서비스 제공업체 약관에 위반된다. 헌트리스는 블로그에서 공격자가 이미 이 방식으로 주로 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol, LDAP) 질의를 사용한 시스템 진입을 시도하고 있다고 지적하면서 요청을 생성한 후 사용자에게 알려주는 도구를 제공한다. Log4Shell 사이트의 페이로드를 잘라내 애플리케이션에 붙여넣기만 하면 된다. 헌트리스의 존 해먼드는 취약점의 작동 방식을 보여주는 동영상도 공개했다.     로깅이 포함된 애...

2021.12.20

기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

자바 취약점 버그 Log4j Log4Shell

2021.12.14

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

2021.12.14

“클라우드가 컴퓨터인 세상, 웹 앱과 API 보안의 현실 직시하라” 퀄시스

클라우드와 웹이 ‘컴퓨터’인 세상이다. 이 새로운 세상에서 시스템 보안이 어디에 어떻게 강구되어야 하는지에 대한 이해가 요구되고 있다. 보안 및 컴플라이언스 기업 퀄시스(Qualys)가 현대 엔터프라이즈를 위한 보안 전략에 대해 제시했다.  엘비스(Elvis) 뿐 아니라 이제 애플리케이션도 건물을 떠났다. 이제 극장에서 나올 때라는 첫 알림음이 울려 퍼지고 있다. 지금은 앙코르나 다른 배우들의 무대 인사를 보기 위해 남아 있을 때가 아니라는 것이다. 그 알림의 두 번째 부분은 이제 엔터프라이즈 소프트웨어 자산 중 많은 수가 그 자체로 인터넷을 형성하는 더 광범위한 웹의 일부로 존재한다는 사실이다. 그런데 자명하면서도 중요한 이 말에는 함축하는 바가 있다. 웹 애플리케이션이 등장하고 웹 애플리케이션의 여러 시냅스를 결합하는 API가 등장하면서 예전에는 상상할 수 없던 수준의 유연성과 운영 민첩성이 가능해지고 있다. 그러나 유연성에는 대가나 희생이 따르기 마련이다. 즉, 취약점이 존재한다. API 초고속도로는 통행량이 매우 많다. 2018년 10월 아카마이(Akamai) 트래픽 리뷰에 따르면, 전체 웹 트래픽에서 API 호출이 차지하는 비율이 83%였다. 지금은 85%나 90%에 가까울 수 있겠다. 컨텐츠 전송 네트워크 전문업체 아카마이는 API 트래픽의 대부분은 디지털 서비스와 클라우드 기반 애플리케이션 배치의 결과물인 맞춤형 애플리케이션용이라고 밝혔다. 웹 앱, 해킹 벡터로 부상했다 퀄시스(Qualsys) 웹 애플리케이션 보안 제품 관리 책임자 존 델라로더리는 이러한 현실의 문제점을 공론화했다. 그는 특정 취약점이 파악되어 해결된 후에도 웹 상의 다른 시스템(콘텐츠 관리 시스템(CMS) 등)에서는 해당 취약점이 패치 되지 않은 형태로 존재하는 점을 지적했다. 그 결과 보안 문제가 자꾸만 생기는 영화 ‘사랑의 블랙홀’과 같은 상황을 겪게 될 우려가 있다는 진단이다. 이러한 지적은 (오픈소스인 경우가 많은) CMS의 보안 완성도에 대한 것이 아...

퀄시스 웹 앱 API 보안 웹 애플리케이션 취약점

2021.11.24

클라우드와 웹이 ‘컴퓨터’인 세상이다. 이 새로운 세상에서 시스템 보안이 어디에 어떻게 강구되어야 하는지에 대한 이해가 요구되고 있다. 보안 및 컴플라이언스 기업 퀄시스(Qualys)가 현대 엔터프라이즈를 위한 보안 전략에 대해 제시했다.  엘비스(Elvis) 뿐 아니라 이제 애플리케이션도 건물을 떠났다. 이제 극장에서 나올 때라는 첫 알림음이 울려 퍼지고 있다. 지금은 앙코르나 다른 배우들의 무대 인사를 보기 위해 남아 있을 때가 아니라는 것이다. 그 알림의 두 번째 부분은 이제 엔터프라이즈 소프트웨어 자산 중 많은 수가 그 자체로 인터넷을 형성하는 더 광범위한 웹의 일부로 존재한다는 사실이다. 그런데 자명하면서도 중요한 이 말에는 함축하는 바가 있다. 웹 애플리케이션이 등장하고 웹 애플리케이션의 여러 시냅스를 결합하는 API가 등장하면서 예전에는 상상할 수 없던 수준의 유연성과 운영 민첩성이 가능해지고 있다. 그러나 유연성에는 대가나 희생이 따르기 마련이다. 즉, 취약점이 존재한다. API 초고속도로는 통행량이 매우 많다. 2018년 10월 아카마이(Akamai) 트래픽 리뷰에 따르면, 전체 웹 트래픽에서 API 호출이 차지하는 비율이 83%였다. 지금은 85%나 90%에 가까울 수 있겠다. 컨텐츠 전송 네트워크 전문업체 아카마이는 API 트래픽의 대부분은 디지털 서비스와 클라우드 기반 애플리케이션 배치의 결과물인 맞춤형 애플리케이션용이라고 밝혔다. 웹 앱, 해킹 벡터로 부상했다 퀄시스(Qualsys) 웹 애플리케이션 보안 제품 관리 책임자 존 델라로더리는 이러한 현실의 문제점을 공론화했다. 그는 특정 취약점이 파악되어 해결된 후에도 웹 상의 다른 시스템(콘텐츠 관리 시스템(CMS) 등)에서는 해당 취약점이 패치 되지 않은 형태로 존재하는 점을 지적했다. 그 결과 보안 문제가 자꾸만 생기는 영화 ‘사랑의 블랙홀’과 같은 상황을 겪게 될 우려가 있다는 진단이다. 이러한 지적은 (오픈소스인 경우가 많은) CMS의 보안 완성도에 대한 것이 아...

2021.11.24

블로그 | '시스템 속 보안 취약점' 컨테이너가 악몽이 되는 순간

컨테이너, 특히 퍼블릭 클라우드에서 운영하는 컨테이너는 이제 오래전부터 보편화했다. 이들 셀프 컨테이너 방식의 가벼운 소프트웨어 패키지는 자체 런타임 환경을 포함하고 있어 여러 플랫폼을 옮겨 다니며 이식할 수 있다. 일반적으로는 이 과정에서 코드를 크게 수정할 필요도 없다. 실제로 컨테이너에는 애플리케이션은 물론 그 애플리케이션을 독립적으로 실행하는 데 필요한 라이브러리와 오래된 바이너리, 설정 파일 등이 모두 포함돼 있다.   컨테이너는 가장 널리 사용하는 애플리케이션 개발 방법론의 하나다. 컨테이너 내에 이미 존재하는 애플리케이션의 래핑도 지원한다. 문제는 컨테이너에 내재한 결점과 보안 취약점이다. 이는 곧 클라우드 보안 전문가에게 가장 두려운 것이고, 동시에 사이버 범죄자가 선호하는 공격 경로이기도 하다. 컨테이너 보안 취약점 문제의 핵심은 클라우드로 컨테이너를 공개하는 순간 컨테이너와 연결된 다른 시스템과 애플리케이션, 데이터 등이 함께 노출될 수 있다는 사실이다. 이들 컴포넌트를 식별할 수 있다는 것은 공격자에게 시스템 제어권은 물론 이 시스템이 다루는 민감한 데이터에 대한 통제권이 넘어갈 수 있다는 의미이기도 하다. 그렇다면 컨테이너 보안 취약점을 감지하는 가장 좋은 방법은 무엇일까. 더 근본적으로, 컨테이너를 꼭 사용해야 하는 이들이 보안 취약점 문제의 위험을 최소화하기 위해 무엇을 해야 할까. 이 물음에 대한 대답은 크게 2가지다. 보안 취약점을 스캔하고, 취약점을 피하는 개발방식을 활용해야 한다는 것이다. 먼저 스캐닝부터 살펴보자. 스캐닝은 가장 일반적인 보안 취약점 검출 방법이다. 지속적 통합/지속적 배포(CI/CD) 파이프라인에 포함된 과정이기도 하다. 스캐닝을 통해 코드를 만들어 테스트하고 리뷰하고 배치하는 것은 물론 운영할 때도 보안 문제를 찾을 수 있다. 자동화된 스캐닝 과정을 이용해 보안 취약점을 식별할 수 있고, 때에 따라서는 개발자 개입 없이 자동으로 수정까지 할 수 있다. 레지스트리 스캐닝 또는 여러 리포지...

컨테이너 보안 취약점

2021.11.04

컨테이너, 특히 퍼블릭 클라우드에서 운영하는 컨테이너는 이제 오래전부터 보편화했다. 이들 셀프 컨테이너 방식의 가벼운 소프트웨어 패키지는 자체 런타임 환경을 포함하고 있어 여러 플랫폼을 옮겨 다니며 이식할 수 있다. 일반적으로는 이 과정에서 코드를 크게 수정할 필요도 없다. 실제로 컨테이너에는 애플리케이션은 물론 그 애플리케이션을 독립적으로 실행하는 데 필요한 라이브러리와 오래된 바이너리, 설정 파일 등이 모두 포함돼 있다.   컨테이너는 가장 널리 사용하는 애플리케이션 개발 방법론의 하나다. 컨테이너 내에 이미 존재하는 애플리케이션의 래핑도 지원한다. 문제는 컨테이너에 내재한 결점과 보안 취약점이다. 이는 곧 클라우드 보안 전문가에게 가장 두려운 것이고, 동시에 사이버 범죄자가 선호하는 공격 경로이기도 하다. 컨테이너 보안 취약점 문제의 핵심은 클라우드로 컨테이너를 공개하는 순간 컨테이너와 연결된 다른 시스템과 애플리케이션, 데이터 등이 함께 노출될 수 있다는 사실이다. 이들 컴포넌트를 식별할 수 있다는 것은 공격자에게 시스템 제어권은 물론 이 시스템이 다루는 민감한 데이터에 대한 통제권이 넘어갈 수 있다는 의미이기도 하다. 그렇다면 컨테이너 보안 취약점을 감지하는 가장 좋은 방법은 무엇일까. 더 근본적으로, 컨테이너를 꼭 사용해야 하는 이들이 보안 취약점 문제의 위험을 최소화하기 위해 무엇을 해야 할까. 이 물음에 대한 대답은 크게 2가지다. 보안 취약점을 스캔하고, 취약점을 피하는 개발방식을 활용해야 한다는 것이다. 먼저 스캐닝부터 살펴보자. 스캐닝은 가장 일반적인 보안 취약점 검출 방법이다. 지속적 통합/지속적 배포(CI/CD) 파이프라인에 포함된 과정이기도 하다. 스캐닝을 통해 코드를 만들어 테스트하고 리뷰하고 배치하는 것은 물론 운영할 때도 보안 문제를 찾을 수 있다. 자동화된 스캐닝 과정을 이용해 보안 취약점을 식별할 수 있고, 때에 따라서는 개발자 개입 없이 자동으로 수정까지 할 수 있다. 레지스트리 스캐닝 또는 여러 리포지...

2021.11.04

시스코, IOS XE 소프트웨어 취약점 패치 발표

시스코가 자사 라우터 및 스위치에서 사용되는 IOS XE 소프트웨어의 치명적인 3가지 취약점을 해결하는 보안 패치를 공개했다.   회사에 따르면 이 3가지 취약점은 32개 보안 경고에 관한 대규모 릴리즈의 일부이며, 그중 상당수는 방화벽, SD-WAN, 무선 액세스 취약점을 포함해 IOS XE와 관련돼 있다.    가장 심각한 취약점은 ‘시스코 카탈리스트 9000 패밀리 와이어리스 컨트롤러(Cisco IOS XE Software for Cisco Catalyst 9000 Family Wireless Controllers)’용 시스코 IOS XE 소프트웨어 취약점이다. 이는 CVSS(Common Vulnerability Scoring System)에서 10점 만점에 10점으로 평가됐다고 회사 측은 전했다.  해당 취약점을 통해 인증되지 않은 원격 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기에서 DoS(Denial of Service) 상태를 발생시킬 수 있다. 공격자는 조작된 CAPWAP 패킷을 영향을 받는 기기로 전송해 이 취약점을 악용할 수 있다. CAPWAP는 사용자가 무선 액세스 포인트를 중앙에서 관리할 수 있게 해주는 네트워킹 프로토콜이다.  시스코는 “공격이 성공하면 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기를 손상시키고 다시 로드하여 DoS가 발생할 수 있다”라고 밝혔다.  두 번째로 심각한 취약점(CVSS 점수: 9.8)은 시스코 IOS XE SD-WAN 소프트웨어에 영향을 미치며, 이를 통해 공격자가 SD-WAN 장치에서 버퍼 오버플로를 일으킬 수 있다고 회사 측은 말했다.  시스코는 “이 취약점은 영향을 받는 기기에서 트래픽을 처리할 때 경계 검사가 충분하지 않으면 발생한다”라면서, “공격자는 조작된 트래픽을 장치로 전송하여 해당 취약성을 악용할 수 있다. 공격이 성공하면 공격자가 버퍼 오버플로를 발생시키고 루트 수...

시스코 IOS EX 소프트웨어 라우터 스위치 보안 보안 패치 패치 취약점 CVSS

2021.09.27

시스코가 자사 라우터 및 스위치에서 사용되는 IOS XE 소프트웨어의 치명적인 3가지 취약점을 해결하는 보안 패치를 공개했다.   회사에 따르면 이 3가지 취약점은 32개 보안 경고에 관한 대규모 릴리즈의 일부이며, 그중 상당수는 방화벽, SD-WAN, 무선 액세스 취약점을 포함해 IOS XE와 관련돼 있다.    가장 심각한 취약점은 ‘시스코 카탈리스트 9000 패밀리 와이어리스 컨트롤러(Cisco IOS XE Software for Cisco Catalyst 9000 Family Wireless Controllers)’용 시스코 IOS XE 소프트웨어 취약점이다. 이는 CVSS(Common Vulnerability Scoring System)에서 10점 만점에 10점으로 평가됐다고 회사 측은 전했다.  해당 취약점을 통해 인증되지 않은 원격 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기에서 DoS(Denial of Service) 상태를 발생시킬 수 있다. 공격자는 조작된 CAPWAP 패킷을 영향을 받는 기기로 전송해 이 취약점을 악용할 수 있다. CAPWAP는 사용자가 무선 액세스 포인트를 중앙에서 관리할 수 있게 해주는 네트워킹 프로토콜이다.  시스코는 “공격이 성공하면 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기를 손상시키고 다시 로드하여 DoS가 발생할 수 있다”라고 밝혔다.  두 번째로 심각한 취약점(CVSS 점수: 9.8)은 시스코 IOS XE SD-WAN 소프트웨어에 영향을 미치며, 이를 통해 공격자가 SD-WAN 장치에서 버퍼 오버플로를 일으킬 수 있다고 회사 측은 말했다.  시스코는 “이 취약점은 영향을 받는 기기에서 트래픽을 처리할 때 경계 검사가 충분하지 않으면 발생한다”라면서, “공격자는 조작된 트래픽을 장치로 전송하여 해당 취약성을 악용할 수 있다. 공격이 성공하면 공격자가 버퍼 오버플로를 발생시키고 루트 수...

2021.09.27

애플, 긴급 OS 업데이트··· “제로-클릭 결함 패치”

애플이 지난 9월 13일(현지 시각) iOS 및 맥OS를 비롯한 자사 운영체제에 긴급 보안 업데이트를 내놨다. 아이폰, 맥, 애플워치 등의 보안을 위협하는 구멍을 차단하기 위해서다.  애플이 iOS, 맥OS, 아이패드OS, 워치OS에 긴급 보안 업데이트를 발표했다. 이번 업데이트는 캐나다 토론토 대학교의 사이버보안 연구진(Citizen Lab)이 사우디아라비아 시민운동가의 기기(아이폰)에서 NSO 그룹(NSO Group)의 스파이웨어 감염 사실을 발견한 뒤 이에 대응해 이뤄졌다. NSO 그룹은 정부 및 보안 기관에 스파이웨어 및 감시 소프트웨어를 판매하는 이스라엘 업체다.    이에 따라 iOS 14, 맥OS 11과 10(a.k.a. 빅 서와 카탈리나), 아이패드OS 14, 워치OS 7에 under-active-exploit 취약점을 패치하기 위한 업데이트가 릴리즈됐다.  애플에 의하면 이 취약점은 악성 PDF를 활용하여 악용될 수 있으며, 이로 인해 임의 코드가 실행될 수 있다. ‘임의 코드 실행(arbitrary code execution)’이라는 문구는 애플에서 가장 심각한 버그를 표현하는 방식이다(애플은 마이크로소프트, 구글 등 다른 운영체제 경쟁사와 달리 취약점의 위협 수준에 순위를 매기지 않는다). 애플은 시티즌 랩이 결함을 보고한 공로를 인정했다.  토론토 대학교 뭉크 국제 문제 및 공공 정책 스쿨(Munk School of Global Affairs & Public Policy) 산하의 사이버보안 감시기관 시티즌 랩도 이날 해당 내용을 담은 보고서를 발표했다. 연구진은 “NSO 그룹의 페가수스(Pegasus) 스파이웨어에 감염된 사우디아라비아 시민운동가의 휴대전화를 분석하던 중 아이메시지(iMessage)에서 제로-데이 제로-클릭 익스플로잇을 발견했다”라고 말했다.  시티즌 랩이 ‘FORCEDENTRY’라고 명명한 이 익스플로잇은 NGO 그룹의 페가수스 감시 제품군으로 202...

애플 페가수스 스파이웨어 보안 취약점 제로 클릭 운영체제

2021.09.15

애플이 지난 9월 13일(현지 시각) iOS 및 맥OS를 비롯한 자사 운영체제에 긴급 보안 업데이트를 내놨다. 아이폰, 맥, 애플워치 등의 보안을 위협하는 구멍을 차단하기 위해서다.  애플이 iOS, 맥OS, 아이패드OS, 워치OS에 긴급 보안 업데이트를 발표했다. 이번 업데이트는 캐나다 토론토 대학교의 사이버보안 연구진(Citizen Lab)이 사우디아라비아 시민운동가의 기기(아이폰)에서 NSO 그룹(NSO Group)의 스파이웨어 감염 사실을 발견한 뒤 이에 대응해 이뤄졌다. NSO 그룹은 정부 및 보안 기관에 스파이웨어 및 감시 소프트웨어를 판매하는 이스라엘 업체다.    이에 따라 iOS 14, 맥OS 11과 10(a.k.a. 빅 서와 카탈리나), 아이패드OS 14, 워치OS 7에 under-active-exploit 취약점을 패치하기 위한 업데이트가 릴리즈됐다.  애플에 의하면 이 취약점은 악성 PDF를 활용하여 악용될 수 있으며, 이로 인해 임의 코드가 실행될 수 있다. ‘임의 코드 실행(arbitrary code execution)’이라는 문구는 애플에서 가장 심각한 버그를 표현하는 방식이다(애플은 마이크로소프트, 구글 등 다른 운영체제 경쟁사와 달리 취약점의 위협 수준에 순위를 매기지 않는다). 애플은 시티즌 랩이 결함을 보고한 공로를 인정했다.  토론토 대학교 뭉크 국제 문제 및 공공 정책 스쿨(Munk School of Global Affairs & Public Policy) 산하의 사이버보안 감시기관 시티즌 랩도 이날 해당 내용을 담은 보고서를 발표했다. 연구진은 “NSO 그룹의 페가수스(Pegasus) 스파이웨어에 감염된 사우디아라비아 시민운동가의 휴대전화를 분석하던 중 아이메시지(iMessage)에서 제로-데이 제로-클릭 익스플로잇을 발견했다”라고 말했다.  시티즌 랩이 ‘FORCEDENTRY’라고 명명한 이 익스플로잇은 NGO 그룹의 페가수스 감시 제품군으로 202...

2021.09.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5