아파치 톰캣의 정보 노출 취약점, 개념증명 익스플로잇까지 나와

오픈소스 웹 서버인 아파치 톰캣...CVE-2020-1938 취약점 통해 정보 노출 가능

일부 조건 맞아 떨어지면 원격 코드 실행도 가능...정보 노출 공격은 난이도가 낮아

[보안뉴스 문가용 기자] 아파치 톰캣(Apache Tomcat)이라는 유명 웹 서버에서 취약점이 발견됐다. 뿐만 아니라 개념증명용 익스플로잇이 깃허브(GitHub)를 통해 공개되는 통에 조만간 실제 공격이 벌어질 가능성도 높아진 상태다. 취약한 톰캣 버전은 7.0, 8.5, 9.0인 것으로 알려져 있다.

문제의 취약점은 CVE-2020-1938로, 이미 2월 20일에 공개된 바 있다. 깃허브에 공개된 익스플로잇의 이름은 고스트캣(Ghostcat)이며, 서버로부터 정보를 추출할 수 있게 해준다. 성공률이 꽤나 높다고 한다. 이를 조금 더 응용할 경우 원격 코드 실행도 가능한 것으로 알려져 있다. 사용자의 개입을 최소화 시킨 채 공격을 실시할 수 있어 공격자들이 꽤나 좋아할 만하다는 평가도 있다.

​

CCTV와 DVR 제품에서 발견된 제로데이 취약점, 봇넷이 장악 중

대만의 LILIN 사에서 만든 CCTV와 DVR, 제로데이 취약점에 감염되어 있어

봇넷 멀웨어의 적극적인 공격 진행 중...장악될 경우 차후 디도스 공격에 활용돼

[보안뉴스 문가용 기자] 대만의 LILIN사에서 생산한 CCTV 보안 카메라에서 다량의 제로데이 취약점이 발견됐고, 이를 해커들이 적극 익스플로잇 하고 있다는 소식이다. LILIN은 IP 영상 솔루션을 제공하는 업체인데, 최근 DVR 하드웨어에 봇넷 멀웨어들이 심기고 있다. 찰루보(Chalubo), 에프봇(FBot), 무봇(Moobot)이 감염된 장비에서 주로 발견되고 있다.

LILIN의 장비에서 공격이 시작된 건 8월 30일부터라고 한다. 보안 전문가들이 이러한 사실을 파악해 제조사 측에 알린 건 1월 19일이고, 패치가 발표된 건 2월 14일이다. 보안 업체 치후360(Qihoo360)이 취약점 세부 내용을 공개했고, 패치된 펌웨어는 11개 DVR 및 IP 카메라 장비에 적용 가능하다.

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr

 [패치 및 업데이트]

    MS 윈도우 취약점 보안 주의 권고

Django 제품 SQL Injection 취약점 보안 업데이트 권고

□ 개요

 o 최근 Django*에서 SQL Injection취약점(CVE-2020-9402)을 악용할 수 있는 개념증명코드(Proof of concept, PoC)가

    인터넷상에 공개되어 사용자의 보안 업데이트 필요

     * Django : 파이썬으로 제작된 오픈소스 웹 어플리케이션 프레임워크

□ 설명

 o Django 제품에서 특정함수(GIS)의 인자값 검증이 미흡하여 발생하는 SQL Injection 취약점(CVE-2020-9402)[1]

□ 영향을 받는 제품

 o Django 1.11

 o Django 2.2

 o Django 3.0

□ 해결 방안

 o 참고사이트(Django 홈페이지)의 “News&Events” 부분을 참고하여 패치 적용 [2]

[참고사이트]

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9402

[2] https://www.djangoproject.com/weblog/2020/mar/04/security-releases/

 
 
 [최신 바이러스 정보]

 PUP/Win32.Mcorp.R329628

 최초 발견일: 2020-03-24
 종    류: 유해가능
 형    태: 실행파일
 감염/설치경로: 파일실행
 설   명: PUP/Win32.Mcorp.R329628 은 PUP성 프로그램으로 광고창을 띄우거나 즐겨찾기 및 바로가기를 생성하는 것이 주 목적이다.

이 PUP 프로그램은 'Visual Runtime 11.0.0' 이라는 이름을 사용하여, 마치 Microsoft사의 정상 프로그램처럼 위장한다.

​

[보안TIP]

2019년 가장 큰 피해 일으킨 건 BEC 공격...막으려면?

[보안뉴스 문가용 기자] 2019년 경제적 피해를 가장 크게 준 사이버 공격은 기업 이메일 침해(BEC) 공격이라고 FBI가 발표했다. 작년 집계된 피해액만 17억 달러 규모에 이른다고 한다. 도요타는 3700만 달러를, 니케이는 2900만 달러를, 텍사스의 한 교육구는 2300만 달러를 단 한 번의 BEC 공격에 잃었다. 전부 지난 6개월 안에 일어난 일이다.

BEC 공격은 취약점 익스플로잇 등 기술적 행위를 통해 구현되기도 하지만, 이는 극히 소수고 거의 대부분은 사람을 속이는 것을 주 무기로 삼고 있다. ‘인간이 가장 취약하다’는 정보 보안의 진리를 적극 악용하는 것이다. 따라서 불가항력적으로 당할 수밖에 없는 경우는 거의 없다. 보안 업계는 다음과 같은 것들을 권장하고 있다.

1) 최전선에서 벌어지는 일을 이해하라 : BEC 공격에 대한 방어의 최전선에는 키보드가 있다. 보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 엔지니어인 리차드 골드(Richard Gold)는 “키보드를 가지고 업무를 한다면 누구나 BEC 방어의 최전선에 있는 것”이라며 “조직이 최전선으로 인력을 보내면서 교육도 하지 않으면 말도 안 되는 것”이라고 말한다. “이론 교육은 물론 실전과 같은 훈련을 조직 차원에서 준비하고 진행해야 합니다. BEC 공격에서만큼은 각 직원들 하나하나가 모두 최전방에 배치된 것과 같습니다.”

이에 대해서는 인포메이션 시큐리티 포럼(Information Security Forum)의 회장인 마크 채플린(Mark Chaplin)도 이에 동의한다. “최전방에 있지만 최후방에 있기도 합니다. 만약 여러 보안 장치들이 겹겹이 마련되어 있지 않다면 말이죠. 그 어떤 지휘관도 전투 상황에서 부대를 한 라인으로 운영하지 않습니다. 최전방이 최후방이 되지 않도록 준비를 해야 합니다. 개개인의 실수나 부주의만 질책하는 방향으로는 아무 것도 이루지 못합니다.”

2) 최전선은 최전선인데 한 가지에만 집중할 수 없다 : 직원들이 지키고 있는 최전선은 실제 전선과는 다르다. 출퇴근을 하며, 다른 생산성 사업을 동시에 진행해야 하기 때문이다. “주어진 임무에 대한 마감을 맞춰야 하고, 퇴근해서는 가족들과의 일도 돌봐야 합니다. 앞에 있는 적만 주시할 수 없고, 따라서 필연적으로 흐트러지는 순간이 있을 수밖에 없습니다. 약점이 전혀 없는 상태로 매 순간을 유지할 수 있는 인간은 있을 수 없습니다.” 채플린의 설명이다.

골드는 “공격자들이 이러한 부분을 노리는 데에 점점 더 익숙해지고 있다”고 경고하기도 한다. “심리학 전문가들이 되고 있어요. 사람들을 어떻게 공략해야 더 많은 실수를 유발할 수 있는지 꿰고 있죠. 보안 전문가라고 하는 사람들도 간단한 사이버 공격에 종종 당하기도 하니, 공격자들이 얼마나 뛰어난지 알 수 있죠.”

3) 주요 공격 벡터를 간과하지 않는다 : “대부분의 조직들이 이메일을 기반으로 한 사이버 공격에 대한 교육을 충실하게 진행합니다. 시뮬레이션 피싱 공격도 함으로써, 훈련도 빼먹지 않는 편이죠. 문제는 이런 교육과 훈련이 ‘데스크톱 이메일 애플리케이션’에 주로 초점이 맞춰져 있다는 겁니다.” 보안 업체 룩아웃(Lookout)의 보안 솔루션 국장인 크리스 하젤튼(Chris Hazelton)의 설명이다. “아직도 모바일 환경에 대한 내용은 교육과 훈련 과정에 포함되지 않을 때가 많습니다. 있더라도 간략히만 하고 넘어가죠.”

NCC 그룹의 지불 보안 담당자인 톰 아놀드(Tom Arnold)도 같은 내용을 지적한다. “PC용 애플리케이션에서 나타나는 피싱 공격의 징후들이나 표시들은 모바일 애플리케이션에서 눈에 잘 띄지 않거나 아예 나타나지 않을 때가 많다”고 주의를 준다. “전혀 다른 교육이 진행되어야 합니다. PC와 모바일 환경, 별개로 말이죠. 둘은 같아 보이지만 보안의 측면에서는 완전히 다르다고도 볼 수 있습니다.”

4) 인증 장치, 충분한가? : BEC 공격은 여러 가지 형태를 가지고 있다. 하지만 ‘인증 과정’을 통과해야 한다는 점에 있어서는 거의 대부분 비슷하다. 사이버 보안 전문가들은 바로 이 지점에서 방어를 이뤄내야 한다고 강조한다. 골드는 “BEC 공격은 결국 인증 장치가 부실하기 때문에 발생하는 것”이라며 “엄청난 금액이 오가는 일을 처리할 때 이메일로만 한다는 건, 결국 이메일 인증만이 유일한 인증 장치가 된다는 뜻”이라고 말했다.

“언뜻 생각해도 말이 되지 않는 일이죠. CEO의 요청이라고 하더라도 일정 금액이 넘어간다면 다른 인증 시스템을 거치도록 정책을 정해야 합니다.” 물론 이러한 정책이 정해질 경우 일반 송금 및 금전 거래 업무가 불편하게 될 수도 있다. 불편함은 직원들로 하여금 ‘해킹’ 즉 보다 간편한 편법을 발견하도록 유발하고, 이 구멍은 큰 사고로 이어질 수 있다. “따라서 마찰을 최대한 적게 하는 정책을 도입해야 합니다. 안전과 용이성을 동시에 생각하라는 것이죠.”