요약 - 해외에서 12,000곳의 깃허브 리포지토리를 접근 계정을 겨냥한 대규모 사이버 공격이 최근 발생
- 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도
내용 - 해외에서 12,000개의 GitHub 리포지토리를 대상으로한 피싱 공격이 발생
> 가짜 보안 경고를 문제로 개발자를 속여 계정과 코드에 대한 전체 제어권 획득 시도
> Security Alert: Unusual Access Attempt
> 특정 IP에서 비정상적인 활동이 발생했음을 경고
> 계정이 침해당했으며, 비밀번호를 변경하고 세션 검토 및 관리, 2단계 인증 활성화 안내 내용을 포함

- 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도
> 사용자가 로그인하여 악성 OAuth 앱을 인증하면 액세스 토큰이 생성되어 아래 URL로 전송
> URL : github-com-auth-secure-access-token.onrender[.]com
> 공개 및 비공개 리포지토리 접근 및 삭제, 사용자 프로필 읽기 및 수정, 조직 멤버십 및 프로젝트 조회, 깃허브 지스트(Gist) 접근 등이 가능해짐

- 권고
> GitHub 설정에서 액세스 권한 취소
> 'gitsecurityapp'와 이름이 비슷한 GitHub 앱 또는 OAuth 앱에 대한 액세스 취소
> 의심스러운 GitHub Actions 존재 확인 및 비공개 gist 생성 여부 확인
> 자격 증명과 승인 토큰 변경 등
기타 - KISA 보호나라 관련 권고
> 깃허브 이용자가 의심스러운 상황을 인지한 경우
①  패스워드 즉시 리셋
② 이중인증 복구 코드 즉시 리셋
③ 개인 액세스 토큰 안전성 검토
④ 패스워드 자동 저장 기능 사용하지 않기 등 보안 강화 활동이 요구

> 피싱 공격발생에 대비한 활동으로 다음과 같은 방법 권고
 o 해킹메일 예방 방법
  - 발신자 주소를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람 금지
  - 이메일 첨부 파일 중 출처가 불분명한 파일 다운로드 자제
  - 이메일 내부 클릭을 유도하는 링크는 일단 의심하고 연결된 사이트 주소 정상 사이트 여부를 반드시 확인

 o 피싱 · 스미싱 예방 방법
  - 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제
  - 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호의 경우 모바일 결제로 연계될 수 있으므로 한 번 더 확인

 o PC 및 스마트폰 보안 강화
  - 운영체제 및 자주 사용하는 문서 프로그램(hwp, doc 등)에 대해 최신 업데이트 수행
  - 바이러스 백신 업데이트 및 수시 검사

□ 침해사고 신고
 o 'KISA 인터넷 보호나라&KrCERT' 홈페이지(http://www.boho.or[.]kr) → 상담및신고 → 해킹 사고 신고

 

보안뉴스

 

Fake "Security Alert" issues on GitHub use OAuth app to hijack accounts

A widespread phishing campaign has targeted nearly 12,000 GitHub repositories with fake "Security Alert" issues, tricking developers into authorizing a malicious OAuth app that grants attackers full control over their accounts and code.

www.bleepingcomputer.com

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

'보안뉴스' 카테고리의 다른 글

PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의  (1) 2025.03.15
중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건  (0) 2025.03.11
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고  (0) 2025.03.09
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
요약 - Windows 서버 대상 PHP 원격 코드 실행 취약점(CVE-2024-4577) 악용 사례 급증
- 공격에 성공할 경우 시스템 전체가 장악될 위험이 있어 기업 및 기관의 신속한 대응이 요구
내용 - CVE-2024-4577
> Windows 환경에서 PHP의 CGI 구현이 문자 인코딩 변환을 적절히 처리하지 못해 발생
> 윈도우 코드 페이지의 ‘Best-Fit’ 기능이 특정 유니코드 문자를 PHP 명령줄 옵션으로 잘못 해석해 명령 실행 가능
> 공격자는 일반 대시(-, 0x2D)가 아닌 소프트 하이폰(-, 0xAD)를 사용
> PHP-CGI 8.3.8 이전 버전, 8.2.20 이전 버전, 8.1.29 이전 버전에 영향
> PHP-CGI 8.3.8, 8.2.20, 8.1.29 버전에서 취약점을 수정

- 25.01 한 달 동안 전 세계 허니팟에서 해당 취약점을 노리는 1,089개의 고유 IP 주소가 탐지
> 공격자들은 취약점을 악용해 시스템 침투자격 증명 탈취, 지속적인 접근 권한 확보 시도
> 단순한 데이터 탈취를 넘어 권한을 상승시켜 "TaoWu" Cobalt Strike 킷과 같은 고급 공격 도구를 활용하는 등 적극적인 공격을 전개
> Gh0st RAT, XMRig를 설치하거나, 랜섬웨어 공격자들은 웹쉘을 배포하고 시스템을 암호화

- 취약점 완화를 위해 신속한 패치 적용 권고
> 웹 서버에서 PHP 실행 파일이 외부에서 접근할 수 있는 디렉터리에 노출되지 않도록 설정 변경 필요
> 윈도우 환경에서 XAMPP를 사용하는 경우 PHP 실행 파일이 기본적으로 노출되는 문제가 있어, 추가적인 보안 조치가 필요
> 불필요한 서비스와 프로토콜을 비활성화
> 최소 권한 원칙 적용
> 네트워크 모니터링을 강화
> 악성코드 감염 여부를 지속적으로 점검
기타 보안 패치의 중요성이 다시 한번 강조된 사례
> 공격자들은 지속적으로 자동화된 스캔을 수행하며 패치되지 않은 시스템을 탐색하기 때문

 

보안뉴스

 

PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의 - 데일리시큐

PHP에서 발견된 심각한 보안 취약점이 전 세계적으로 악용되며 윈도우 기반 서버가 심각한 위협에 직면했다. 해당 취약점은 CVE-2024-4577로, PHP가 CGI(Common Gateway Interface) 모드에서 실행될 때 원격 공

www.dailysecu.com

 

PHP-CGI Argument Injection 취약점 (CVE-2024-4577)

1. PHP-CGI (Common Gateway Interface)- CGI(Common Gateway Interface): 웹 서버와 외부 프로그램 간의 상호 작용을 위한 표준 인턴페이스- 웹 서버는 사용자 요청에 PHP 스크립트 포함된 경우 해당 스크립트를 PHP

ggonmerr.tistory.com

'보안뉴스' 카테고리의 다른 글

GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다  (0) 2025.03.18
중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건  (0) 2025.03.11
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고  (0) 2025.03.09
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
요약 - 중국산 블루투스 칩에 알려지지 않은 32개의 명령어들이 숨어있는 것으로 확인
- 해당 칩은 현재 수백만 대의 상용 IoT 기기에 쓰인 것으로 추산
내용 - 중국 반도체 제조사 Espressif의 마이크로칩 ESP32에서 문서화하지 않은 32건의 명령어 발견
> ESP32는 WiFi 및 Bluetooth 연결을 가능하게 하는 마이크로컨롤러
> 수백만 대의 상용 IoT 기기에 탑재됨

- 명령어를 통해 칩을 임의로 수정하여 추가 기능 설치, 악성코드 감염, 신원 도용 공격 등을 가능하게 함
> 스마트폰, 컴퓨터, 의료기기 등 민감한 개인 기기에 영구적 피해를 입힐 우려가 있음
> 개인정보나 기업 기밀 정보 유출, 사용자 감시 등에 악용되거나, OEM(위탁제조사) 수준에서 공급망 공격을 시도할 수 있음
기타 -

 

보안뉴스

 

중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려

세계적으로 IoT 기기에 널리 쓰이는 중국산 블루투스 칩에 알려지지 않은 명령들이 숨어있는 것으로 나타났다. 사이버 공격을 위한 백도어로 활용될 수 있다는 우려가 나온다.

www.boannews.com

 

Undocumented commands found in Bluetooth chip used by a billion devices

The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 contains undocumented commands that could be leveraged for attacks.

www.bleepingcomputer.com

 

Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices

Tarlogic presents research revealing undocumented commands in the ESP32 microchip, present in millions of smart devices with Bluetooth

www.tarlogic.com

 

'보안뉴스' 카테고리의 다른 글

GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다  (0) 2025.03.18
PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의  (1) 2025.03.15
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고  (0) 2025.03.09
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
요약 - 국정원, 북한 해킹 조직이 주요 국가기관과 첨단 기업의 기밀 자료와 핵심 기술을 탈취하기 위해 고도화된 해킹 기법을 사용한다고 경고
- 북한 해킹 조직이 S/W 공급망 보안의 취약점을 집중적으로 공략하며, IT 용역업체와 IT 솔루션을 대상으로 한 해킹 시도가 증가하는 추세
내용 - 국정원, 북한의 S/W 공급망 보안 취약점을 노린 해킹 경고
> 북한 해킹 조직은 S/W 공급망을 대상으로 세 가지 주요 방식으로 공격 수행
IT 용역업체를 해킹해 해당 업체가 보유한 접속 권한을 활용해 기관과 기업의 내부망을 우회 침투
- 고객사 접속 권한이 있는 IT 용역업체의 보안이 취약하면 국가기관 및 기업의 보안체계가 잘 갖춰져 있더라도 피해에 고스란히 노출
> 24.10 북한 해킹 조직이 한 지방자치단체 전산망 유지보수를 담당하는 A사 직원 이메일을 해킹
> 해당 이메일에 저장된 서버 접속 계정을 탈취해 지자체의 전산망 원격관리 서버에 무단 접속한 사례
> IT 용역업체는 직원 보안 교육을 강화하고, 외부 접속 경로 차단인증 수단 강화 등 조치를 통해 보안 수준을 높여야 함

② IT 솔루션과 소프트웨어의 취약점을 악용해 내부 시스템에 침투하는 방법
- 내부자료 통합 관리와 유통을 위해 사용되는 IT 솔루션이 공격당할 경우, 단 한 번의 침해로 대량의 내부 정보가 유출될 가능성이 큼
> 이번 달, 북한 해킹 조직이 방산 협력업체 D사의 전자결재 및 의사소통용 그룹웨어의 보안 취약점을 악용해 악성코드를 설치
> 이를 통해 직원 이메일과 네트워크 구성도 등 내부자료를 탈취하려 한 정황이 포착
> 소프트웨어 보안 패치를 적용하고, 인터넷을 통한 관리자 계정 접속을 차단하며, 정기적으로 취약점을 점검하는 등의 보안 조치가 필요

③ 기관과 기업의 보안 관리 허점을 노려 공격하는 방식
- 유추하기 쉬운 초기 패스워드를 사용하거나, 직원들이 부주의로 해킹 이메일을 열람하는 등의 보안 허점이 북한 해킹 조직의 주요 공격 경로로 활용
> 25.02 북한 해킹 조직이 모바일 신분 확인업체 E사의 관리자 페이지가 인터넷을 통해 쉽게 접근할 수 있다는 점을 악용
> 보안 검색 엔진을 활용하여 해당 취약점을 분석한 후 관리자 권한을 탈취한 사례가 발생
> 기본 보안 수칙을 체크리스트로 만들어 정기적으로 점검하고, 보안 교육을 강화해 직원들의 보안 의식을 높이는 것이 필수적
기타 - 국정원은 북한 해킹 조직을 비롯한 사이버 위협 세력의 공격을 차단하기 위해 관련 위협 정보와 보안 권고문을 국가사이버안보센터(NCSC) 홈페이지와 KCTI(사이버위협정보공유시스템)를 통해 제공

- 소프트웨어 공급망 공격
> 한 번의 침해로도 광범위한 피해를 초래할 수 있어 IT 공급자와 사용자 모두 경각심을 가져야 함

 

보안뉴스

 

국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고 - 데일리시큐

국가정보원이 최근 북한 해킹 조직이 주요 국가기관과 첨단 기업의 기밀자료와 핵심 기술을 탈취하기 위해 고도화된 해킹 기법을 사용하고 있다고 경고했다. 국정원은 북한 해킹 조직이 소프트

www.dailysecu.com

 

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

 

'보안뉴스' 카테고리의 다른 글

PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의  (1) 2025.03.15
중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건  (0) 2025.03.11
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생  (0) 2025.02.13
요약 - LLM 학습에 사용되는 데이터셋에서 약 1만2천개의 활성 API 키와 비밀번호가 포함된 사실을 발견
- 학습 과정에서 보안이 제대로 관리되지 않을 경우, 심각한 보안 취약점으로 이어질 수 있음을 다시 한번 경고
내용 - 보안 기업 Truffle Security, 2024년 12월 공개된 Common Crawl의 웹 데이터 아카이브를 분석
> Common Crawl : 지난 18년간 축적된 400TB 규모의 웹 데이터를 제공하는 공공 웹 크롤링 저장소
> 이 데이터에서 219가지 유형의 민감한 정보가 포함된 것을 확인
> 아마존웹서비스(AWS) 루트 키, 슬랙(Slack) 웹훅, 메일침프(Mailchimp) API 키 등이 포함
> 11,908개의 API 키 및 비밀번호 중 상당수는 여러 웹사이트에 중복적으로 노출

- 노출된 API 키와 비밀번호가 AI 학습 데이터에 포함될 경우, 보안상 심각한 위험을 초래
안전하지 않은 코딩 방식이 AI를 통해 강화될 가능성
> 하드코딩된 인증 정보를 포함한 데이터를 학습하면, 이후 개발자들에게 보안이 취약한 코드 패턴을 제안할 위험
AI가 민감한 정보를 그대로 재현할 가능성
> AI 모델이 특정 API 키나 비밀번호를 학습한 경우, 사용자가 특정 프롬프트를 입력했을 때 해당 정보를 그대로 반환할 가능성

- 철저한 보안 관리가 필요성이 강조됨
> 비밀번호와 API 키를 소스코드에 직접 포함하는 대신, 전용 보안 관리 시스템을 활용
> 코드 리뷰 및 자동화된 보안 점검을 강화
> AI 학습 데이터를 사전에 철저히 검토하고, 민감한 정보가 포함되지 않도록 필터링하는 절차를 강화
기타 - AI 기술이 발전함에 따라 데이터 보안이 더욱 중요해지고 있음을 보여줌
> LLM을 학습시키는 과정에서 보안 조치가 철저히 이루어지지 않으면, AI가 보안 취약점을 학습하고 확산시키는 새로운 위협 요소로 작용할 수 있음
> AI 개발자와 기업들은 보안 강화를 위한 체계적인 접근 방식을 도입해야 함

 

보안뉴스

 

LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인 - 데일리시큐

최근 보안 연구진이 거대 언어 모델(LLM) 학습에 사용되는 데이터셋에서 약 1만2천개의 활성 API 키와 비밀번호가 포함된 사실을 발견했다. 이 조사 결과는 AI 학습 과정에서 보안이 제대로 관리되

www.dailysecu.com

 

Research finds 12,000 ‘Live’ API Keys and Passwords in DeepSeek's Training Data ◆ Truffle Security Co.

We scanned Common Crawl - a massive dataset used to train LLMs like DeepSeek - and found ~12,000 hardcoded live API keys and passwords. This highlights a growing issue: LLMs trained on insecure code may inadvertently generate unsafe outputs.

trufflesecurity.com

 

'보안뉴스' 카테고리의 다른 글

중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건  (0) 2025.03.11
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고  (0) 2025.03.09
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생  (0) 2025.02.13
[긴급] 포티게이트 방화벽 설정파일 1만5000개 유출, IP 주소 확인 필요  (0) 2025.01.22
요약 - 전 세계적으로 49,000개 이상의 잘못 구성된 출입 관리 시스템이 인터넷에 노출된 사실을 발견
- 개인정보 유출뿐만 아니라 주요 기반 시설의 물리적 보안이 심각한 위협
내용 - 출입 관리 시스템(Access Management System, AMS)
> 생체 인식, ID 카드, 차량 번호판 등을 이용해 건물과 시설의 출입을 제어하는 보안 시스템

- 보안 설정이 제대로 적용되지 않은 상태로 인터넷에 노출되면서, 해커가 이를 악용할 가능성이 존재
> 상당수의 AMS가 안전한 인증 방식을 적용하지 않았으며, 저장된 데이터 또한 암호화되지 않은 상태

- 보안 연구 기관 Modat, 수만 개의 AMS가 인터넷에 그대로 노출되어 있음을 발견
> 많은 시스템에서 이름, 이메일 주소, 전화번호 등의 개인 식별 정보뿐만 아니라 지문과 얼굴 인식 정보 같은 생체 인식 데이터도 보호되지 않은 상태로 저장
> 직원들의 사진과 근무 일정, 출입 기록까지 포함된 경우도 존재
> 일부 시스템에서는 직원 정보를 수정하거나 가짜 직원을 추가가 가능

- AMS가 인터넷에 노출될 경우 발생할 수 있는 위협
> 주요 시설의 접근 통제가 무력화될 수 있음
> 노출된 직원 정보를 이용해 표적형 피싱 공격을 하거나 사회공학적 기법을 활용해 내부 네트워크로 침투할 가능성
> 허위 직원 계정이 만들어져 무단 출입이 가능 등

- AMS 시스템의 소유자들에게 위험성을 경고하고 문제 해결을 위한 조치를 권고
> 대부분의 기업과 기관에서 응답이 없었으며, 보안 조치를 완료한 사례도 확인되지 않음

- AMS 시스템을 보호하기 위해 즉각적인 대응이 필요성 강조
> AMS를 인터넷에서 분리하고 방화벽과 VPN을 통해 접근을 제한
> 기본 관리자 계정을 변경하고 다중 인증(MFA)을 적용
> 최신 소프트웨어 및 펌웨어를 업데이트
> 불필요한 네트워크 서비스를 비활성화
> 저장된 생체 인식 데이터와 개인정보를 암호화
> 퇴직 직원의 계정과 데이터를 즉시 삭제
> 제로트러스트(Zero Trust) 모델을 도입
> 주기적인 보안 점검과 취약점 테스트를 수행
기타 -

 

보안뉴스

 

4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협 - 데일리시큐

최근 보안 연구원들이 전 세계적으로 49,000개 이상의 잘못 구성된 출입 관리 시스템(Access Management System, AMS)이 인터넷에 노출된 사실을 발견했다. 이로 인해 개인정보 유출뿐만 아니라 주요 기반

www.dailysecu.com

 

Doors Wide Open: hundreds of thousands of employees exposed; thousands of organisations physically vulnerable

Research: 50K internet-exposed AMS misconfigurations detected across multiple industries and countries, indicating a global security issue.

www.modat.io

'보안뉴스' 카테고리의 다른 글

국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고  (0) 2025.03.09
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생  (0) 2025.02.13
[긴급] 포티게이트 방화벽 설정파일 1만5000개 유출, IP 주소 확인 필요  (0) 2025.01.22
오래됐지만 여전히 사랑받는 NTLM, 이제 정말 없애야 할 때  (0) 2025.01.22
요약 - 전 세계적으로 약 280만 개의 IP 주소를 활용한 대규모 무차별 대입 공격 발생
- Palo Alto Networks, Ivanti, SonicWall 등 다양한 네트워크 장비의 계정 정보를 탈취하기 위한 시도로 확인
내용 - 무차별 대입 공격
> 수많은 사용자 이름과 비밀번호 조합을 반복적으로 입력해 올바른 조합을 찾아내는 방식

- 위협 모니터링 기관인 The Shadowserver Foundation(섀도서버 재단)
> "지난 1월 중순부터 공격이 본격화됐으며 최근 들어 그 규모가 급격히 확대됐다"고
> 공격에 사용된 IP 주소는 브라질에서 가장 많이 발생(110만 개 이상)
> 터키, 러시아, 아르헨티나, 모로코, 멕시코 등이 주요 발원지로 확인
> 광범위한 IP 분포는 봇넷 또는 주거용 프록시 네트워크와 관련된 운영일 가능성 시사

- 공격에 활용된 장비
> MikroTik, Huawei, Cisco, Boa, ZTE 등의 라우터와 IoT 기기들
> 대부분 악성코드 봇넷에 감염된 상태로 대규모 공격에 동원

- CISA
> 이번 상황을 면밀히 모니터링하고 있으며, 필요한 경우 위험에 노출된 기관에 통보하고 대응 지침을 제공할 예정

- 엣지(Edge) 보안 장비는 인터넷에 노출되는 특성상 취약점이 발생하기 쉬운 구조
> 특히 다중 인증(MFA)과 같은 보안 조치를 적용하지 않은 경우 자격 증명 무차별 대입 공격에 취약
기타 - 이번 공격에 대응하기 위해 다음과 같은 조치를 권고
> 우선 기본 관리자 비밀번호를 강력하고 고유한 비밀번호로 변경
> 가능한 모든 시스템에 다중 인증(MFA)을 적용
> 신뢰할 수 있는 IP만 허용하는 화이트리스트를 구성
> 불필요한 웹 관리 인터페이스는 비활성
> 정기적인 펌웨어 업데이트와 보안 패치 적용
> 네트워크 트래픽을 지속적으로 모니터링하여 비정상적인 접근 시도를 조기에 탐지

 

보안뉴스

 

280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생 - 데일리시큐

전 세계적으로 약 280만 개의 IP 주소를 활용한 대규모 무차별 대입(브루트포스) 공격이 발생했다. 이번 공격은 Palo Alto Networks(팔로알토 네트웍스), Ivanti(이반티), SonicWall(소닉월) 등 다양한 네트워

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인  (0) 2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
[긴급] 포티게이트 방화벽 설정파일 1만5000개 유출, IP 주소 확인 필요  (0) 2025.01.22
오래됐지만 여전히 사랑받는 NTLM, 이제 정말 없애야 할 때  (0) 2025.01.22
챗GPT·클로드·제미나이에 유출된 정보 분석했더니…  (0) 2025.01.22
요약 - 다크웹 포럼에서 1만5000개 이상의 포티게이트(Fortigate) 방화벽 설정파일 공개
- 사용자 이름, 비밀번호, 장치 관리 디지털 인증서, 방화벽 규칙들이 포함되어 있음
내용 - 다크웹 포럼에서 1만5000개 이상의 포티게이트(Fortigate) 방화벽 설정파일 공개
> 사용자 이름, 비밀번호, 장치 관리 디지털 인증서, 방화벽 규칙들이 포함
> 25.01.14 최초 업로드 되었으나, 분석 결과 22년에 탈취한 정보일 가능성이 높음

- CVE-2022-40684 취약점을 악용해 방화벽을 침해한 것으로 분석
> 대체 경로 또는 채널을 사용하는 인증 우회[CWE-288]를 통해 인증되지 않은 공격자가 특별히 제작된 HTTP(S) 요청을 통해 관리 인터페이스에서 발생하는 인증을 우회할 수 있는 취약점 (CVSS: 9.8)

- 해당 사태에 영향받는 IP들을 pastebin[.]com/mffLfcLp에 공개
> 이번 사태와 관련이 없더라도, 크리덴셜, 인증서, 방화벽 규칙 모두 재설정 권장
> CVE-2022-40684 취약점 패치가 올바르게 적용되었는지도 점검
기타 -

 

보안뉴스

 

[긴급] 포티게이트 방화벽 설정파일 1만5000개 유출, IP 주소 확인 필요

다크웹의 한 영어권 포럼에서 1만5000개 이상의 포티게이트(Fortigate) 방화벽 설정파일이 공개됐다. 그 안에는 사용자 이름, 비밀번호, 장치 관리 디지털 인증서, 방화벽 규칙들이 포함되어 있었다.

www.boannews.com

 

CloudSEK: List of IPs from BelSen Group Fortigate Configuration Leak - Pastebin.com

Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.

pastebin.com

'보안뉴스' 카테고리의 다른 글

4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협  (0) 2025.03.01
280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생  (0) 2025.02.13
오래됐지만 여전히 사랑받는 NTLM, 이제 정말 없애야 할 때  (0) 2025.01.22
챗GPT·클로드·제미나이에 유출된 정보 분석했더니…  (0) 2025.01.22
구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해  (0) 2025.01.22

+ Recent posts

티스토리툴바