Security News
정보보호 전문기업 두루안이 함께 합니다.
[보안뉴스] 2020년 12월 2주 동향 보도일|2020.12.04 조회수|3046
The Hacker News 발췌분
Cisco Reissues Patches for Critical Bugs in Jabber Video Conferencing Software (2020-12-10)
-
Cisco는 Jabber앱에서 이전에 공개된 4개의 중요한 버그를 완전히 해결하지 못했습니다. 이 취약점이 성공적으로 악용되면 인증된 원격 공격자가 그룹 대화 또는 특정 개인에서 특수 제작된 채팅 메시지를 전송하여 대상 시스템에서 임의의 코드를 실행할 수 있습니다. 발견된 새로운 결함은 현재 지원되는 모든 Cisco Jabber 클라이언트 버전 12.1-12.9에 영향을 미칩니다.
-
CVE-2020-26085 : 심각도 9.9 점으로 CEF(Chromium Embedded Framework) 샌드 박스를 우회하여 원격 코드를 실행할 수 있는 제로 클릭 XSS 취약점입니다. 다른 Cisco Jabber 사용자가 보낸 파일을 열도록 설계된 window.CallCppFunction을 악용하여 보호 기능을 우회합니다. 공격자는 악성 ".exe"파일이 포함된 파일 전송을 시작하고 피해자가 파일을 수락하도록 한 다음 실행 파일이 피해자의 컴퓨터에서 실행되도록 합니다. 이 취약점은 사용자 상호 작용이 필요하지 않으며 웜 가능성이 있습니다.
-
CVE-2020-27132 : 두 개 이상의 네트워크 엔터티 간의 인스턴트 메시징을 용이하게 하는 데 사용되는 XML 기반 통신 프로토콜인 XMPP 메시지에서 HTML 태그를 적절하게 삭제하지 않기 때문에 악성 URL을 가리키는 이미지 HTML 태그를 삽입하거나 악성 자바 스크립트 코드를 실행하여 무해한 파일 전송 메시지를 조작 할 수 있습니다. 추가적인 보안 조치가 마련되지 않았기 때문에 주입 지점을 사용하여 원격 코드 실행과 NTLM 암호 해시를 훔칠 수 있습니다.
-
CVE-2020-27127 : 특정 URL (예: XMPP : //, IM : // 및 TEL : /)을 열도록 운영 체제에 알리는 데 사용되는 프로토콜 처리기와 관련된 명령 삽입 결함입니다. /)는 URL에 공백을 포함하여 공격자가 임의의 명령 줄 플래그를 삽입할 수 있도록 합니다.
-
Jabber 사용자는 취약점을 완화하기 위해 최신 버전의 소프트웨어로 업데이트하는 것이 좋습니다. 또한 조직이 모든 직원이 업데이트를 설치할 때까지 Cisco Jabber를 통해 외부 엔티티와의 통신을 비활성화 할 것을 권장합니다.
-
Amnesia:33 — Critical TCP/IP Flaws Affect Millions of IoT Devices (2020-12-09)
-
Forescout 연구원들은 IoT 및 임베디드 장치에서 일반적으로 사용되는 4개의 오픈 소스 TCP/IP 프로토콜 스택 (uIP, FNET, picoTCP 및 Nut/Net)에서 33개의 취약점 세트인 "AMNESIA:33"을 발견했습니다. 이 취약점은 네트워크 장비 및 의료 기기에서 산업 제어 시스템에 이르기까지 수백만 개의 장치에 영향을 미칩니다. 가장 심각한 문제 중 세 가지는 아래와 같습니다.
-
CVE-2020-24336 : NAT64를 통해 전송된 DNS 응답 패킷의 DNS 레코드를 구문 분석하는 코드는 응답 레코드의 길이 필드를 확인하지 않아 공격자가 메모리를 손상시킬 수 있습니다.
-
CVE-2020-24338 : 도메인 이름을 구문 분석하는 기능에는 경계 검사가 없으므로 공격자가 제작된 DNS 패킷으로 메모리를 손상시킬 수 있습니다.
-
CVE-2020-25111 : DNS 응답 리소스 레코드의 이름 필드를 처리하는 동안 발생하는 힙 버퍼 오버플로로 인해 공격자가 할당된 버퍼에 임의의 바이트 수를 기록하여 인접 메모리를 손상시킬 수 있습니다.
-
방어조치를 시행하기 전에 조직에 적절한 영향 분석 및 위험 평가를 수행하도록 촉구하는 것 외에도 CISA는 네트워크 노출을 최소화하고, 제어 시스템 네트워크와 방화벽 뒤의 원격 장치를 격리하고, 안전한 원격 액세스를 위해 가상 사설망을 사용할 것을 권장했습니다.
-
Zero-Click Wormable RCE Vulnerability Reported in Microsoft Teams (2020-12-07)
기타 동향
MySQL 서버 노리는 랜섬웨어 캠페인, 플리즈리드미 발견돼 (2020-12-11)
-
MySQL 노리는 대형 랜섬웨어 캠페인 발견됨.
-
데이터를 빼돌리고 원본 지운 상태에서 협박 편지 남겨 둠.
-
따라서 파일레스 공격에 해당됨. 하지만 주요 침투 기법은 단순 브루트포스.
-
오래된 윈도 커널 요소 취약점의 익스플로잇 등장 (2020-12-10)
-
오래된 윈도 커널 요소에 있던 취약점, MS는 “공격 가능성 낮다”고 주장.
-
하지만 같은 취약점을 비교적 어렵지 않게 익스플로잇 하는 방법이 시연됨.
-
오래된 취약점, 잘 알려진 취약점, 공격 가능성 낮다고 치부된 취약점은 고질적 보안 문제.
-
파이 어아이 뚫어낸 해커들, 모의 해킹 도구 가져갔다 (2020-12-09)
-
해 킹 방어 업체 파이어아이, 고차원적 수준 가진 해커에게 뚫림.
-
공격자들은 파 이어아이의 레드팀 도구들을 훔쳐간 것으로 보임.
-
이 도구가 확산되면 사이버 범죄자들의 공격 효율이 크게 높아질 것.
-