인기 높은 후지쯔 무선 키보드에서 키스트로크 주입 취약점 나와

독일의 보안 전문가, 2016년에 이어 올해도 후지쯔에서 취약점 발견

45m 거리 정도에서 아무 키스트로크 주입시킬 수 있는 취약점...시스템 장악

[보안뉴스 문가용 기자] 후지쯔에서 만든 무선 키보드가 키스트로크 삽입 공격에 취약한 것으로 나타났다. 이를 통해 공격자가 피해자의 시스템 전체를 장악하는 게 가능하다고 한다. 이에 대한 내용을 발표한 건 독일의 보안 회사인 시스(SySS)로, 약 45m 밖에서 공격이 가능하다는 걸 입증했다고 한다. 이들이 실험에 사용한 건 후지쯔 무선 키보드셋 LX901이었다.

시스의 보안 전문가 마티아스 디그(Matthias Deeg)는 “키스트로크 삽입 취약점을 익스플로잇 하면, 화면을 잠글 수가 있게 되므로 여러 가지 다른 공격을 하는 것도 가능하게 된다”고 설명한다. “그래서 사용자가 자리를 비웠을 때나 시스템이 사용되지 않을 때 키스트로크 취약점을 통해 멀웨어를 심는 등의 행위도 가능합니다.”

디그는 후지쯔에 이러한 사실을 알렸으나, 후지쯔는 “명확한 해결 방법을 찾지 못하고 있다”는 답을 보내왔다. 아직 이 취약점에는 CVE 번호가 붙지 않은 상태인데, 디그는 “CVSS 점수로 따지면 약 8.8점은 될 것”이라고 보고 있다. 꽤나 위험한 취약점(고위험군)에 속한다는 것이다. 문제의 후지쯔 키보드셋 LX901은 윈도우 OS를 지원하는 데스크톱 기기로, 마우스와 키보드로 구성되어 있다.

후지쯔 무선 키보드는 키스트로크를 데스크톱에 전송할 때 무선 주파수를 사용한다. 이 때 데이터 패킷을 AES로 암호화하며, 사이프레스 세미컨턱터(Cypress Semiconductor)에서 만든 2.4GHz 범위의 트랜시버를 사용한다. 그런데 이 데이터 패킷을 받는 리시버(데스크톱에 위치해 있음)가 암호화된 데이터만이 아니라 암호화되지 않은 데이터 패킷들도 처리한다. 디그는 이것이 데이터 통신의 구현이 불안정하게 된 문제라고 말한다.

​

온라인 쇼핑몰, 한 줄짜리 침공에 주의하라

단 한 줄의 악성 코드...자바스크립트 스니퍼 다운로드 받아

결국 지불 카드 정보가 도난당해...업체들이 고객 보호위해 나서야

[보안뉴스 문가용 기자] 최소 7개의 온라인 쇼핑몰이 사이버 공격자들에 의해 침해됐다. 이 때문에 최소 수천~수만 명의 고객들의 지불 카드 정보가 새나갔다고 한다. 놀라운 건 공격자들의 악성 코드가 딱 한 줄이었다는 것이다.

이 한 줄짜리 공격에 당한 온라인 쇼핑몰 중 6개는 미국에 있고, 1개는 영국에 위치해 있다고 한다. 이 공격을 발견한 보안 업체 그룹IB(Group-IB)는 공격자들이 사용한 한 줄짜리 악성 코드가 자바스크립트 스니퍼(JavaScript Sniffer)를 다운로드 받는다고 설명하며 이 스니퍼에 GMO라는 이름을 붙였다.

모스코바의 보안 업체 그룹IB는 “제일 먼저 영국 필라(Fila)의 웹사이트에서 GMO를 발견했다”며 “그것이 3월 초반의 일”이라고 밝혔다. “이에 조사를 더 진행했더니 멀웨어가 2018년 5월부터 활성화되어 있다는 게 드러났습니다. 또한 미국의 웹사이트 6곳도 GMO에 감염되어 있는 것을 알게 됐습니다.”

그룹IB가 밝힌 바에 따르면 공격을 받은 6개의 사이트는 다음과 같다.

1) forshaw.com

2) absolutenewyork.com

3) cajungrocer.com

4) getrxd.com

5) jungleeny.com

6) sharbor.com

이 사이트들의 월별 사용자의 수를 전부 합치면 약 35만 명이다.

그룹IB에 따르면 GMO는 JS 스니퍼의 일종이며, 마젠토(Magento)를 기반으로 한 전자 상거래 웹사이트를 공격한다고 한다. 지불 카드 정보와 크리덴셜을 훔치는 데 특화된 JS 스니퍼 패밀리는 대략 38개 정도 된다고 하며, 아직 알려지지 않은 마젠토의 취약점이나 웹사이트 관리자 크리덴셜 침해를 통해 웹사이트를 감염시킨다고 한다.

​ 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

 Cisco 제품군 취약점 보안 업데이트 권고

□ 개요

 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지

 o 공격자는 해당 취약점을 이용하여 임의 명령어 실행 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 할 것을 권고

□ 주요 내용

 o Cisco Common Services Platform Collector(CSPC)에서 기본 PW 사용으로 인해 임의의 원격사용자가 관리자 권한으로 로그인할 수 있는 권한 상승 취약점(CVE-2019-1723) [1]

 o Open Container Initiative runc CLI tool을 사용중인 Cisco 제품에서 파일 서술자(file descriptor)에 대한 처리가 미흡하여 발생하는 권한상승 취약점(CVE-2019-5736) [2]

□ 영향을 받는 제품

 o Cisco Common Services Platform Collector(CSPC)

  - 2.7.2 ~ 2.7.4.5 버전

  - 2.8.x ~ 2.8.1.2 이전 버전

 o Cisco의 Open Container Initiative tool 관련 제품

  - Container Platform

  - Cloudlock

  - Defense Orchestrator

□ 해결 방안

 o 취약점이 발생한 Cisco 제품 이용자는 참고사이트에 명시되어 있는 ‘Fixed Software’ 내용을 확인하여 패치 적용

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscv

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190215-runc

 [최신 바이러스 정보]

Trojan/Win32.Agent.C3089706
최초 발견일: 2019-03-18
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Agent.C3089706는 공격자가 원하는 파일들을 삭제하고 키 입력 정보를 수집 및 탈취하는 악성코드이다.

Trojan/Win32.Scarsi.C3089610

최초 발견일: 2019-03-18
종    류: 트로이목마(정보유출)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명 : Trojan/Win32.Scarsi.C3089610는 사용자의 네트워크 활동을 파악하기위해 시스템 및 키 입력 정보를 탈취하는 악성코드이다.

Malware/Win32.Generic.C3089588
최초 발견일: 2019-03-18
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Malware/Win32.Generic.C3089588는 감염된 시스템의 보안상태를 취약하게 만들어 정보탈취를 시도하는 악성코드이다..

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 ​

​

[보안TIP]

모바일 백신 ‘알약M’, AV-Comparatives 테스트에서 악성 앱 100% 진단

[보안뉴스 원병철 기자] 보안 전문기업 이스트시큐리티(대표 정상원)의 모바일 백신 ‘알약M’이 AV-컴패러티브(AV-Comparatives)의 성능 검증 테스트에서 진단율 100%를 기록했다. AV-컴패러티브는 글로벌 보안제품 성능 평가 기관으로, 이번 테스트는 구글 플레이스토어에 등록된 250개 보안 앱을 대상으로 2019년 1월 실시됐다.

테스트는 2018년 가장 많이 유포된 악성 APK(안드로이드 앱) 샘플 2,000개를 사용해 진단율을 검증하는 방식이 사용됐으며, 검증 신뢰도를 높이기 위해 각 보안 앱 개발사에 사전 고지 없이 진행됐다. AV-컴패러티브가 2019년 3월 발표한 보고서에 따르면 테스트 결과 검증 대상의 절반 이상인 138개 보안 앱이 30% 이하의 진단율을 기록한 반면, 이스트시큐리티의 ‘알약M’은 모든 샘플을 정확히 탐지해 진단율 100%를 기록했다.

이스트시큐리티 관계자는 “AV-컴패러티브에서 비정기적으로 실시한 테스트 결과를 통해, 국내 최다 사용자를 보유한 ‘알약M’의 기술력과 성능을 다시 한 번 입증하게 돼 기쁘다”라며, “보안 앱으로서 성능 강화는 물론, 사용자 편의성을 높일 수 있는 다양한 부가기능도 지속적으로 탑재해 모바일 기기 통합 관리 앱으로 발전시켜 가겠다”고 말했다.

실제로 ‘알약M’은 악성코드를 탐지하는 백신의 기능과 함께, 다양한 부가 기능을 지속적으로 업데이트해왔다. 먼저 알약M은 보안 성능을 높이기 위해 DB업데이트 없이 최신 악성코드를 탐지할 수 있는 △‘실시간 클라우드 검사’ 기능, 설치 파일의 악성 여부를 실시간으로 탐지하는 △‘다운로드 폴더 검사’ 기능 등을 업데이트를 통해 추가했다.

또한 모바일 기기 상태를 간편하게 통합 관리 할 수 있도록 보안, 메모리, 용량 관리 등을 버튼 하나로 진행할 수 있는 △‘원터치 검사 버튼’을 적용했고, △‘배터리 최적화’ △‘파일 청소’, 카카오톡 등 △‘메신저 파일 정리’ 등 다양한 부가 서비스도 제공하고 있다.

이 밖에도 회사가 보유하고 있는 국내 최대 스미싱 악성 문자 데이터베이스(DB)를 활용해, 설치된 앱의 알림 메시지까지 감시하는 더욱 강력해진 성능의 ‘스미싱 탐지’ 기능도 선보일 예정이다.

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/