꼰머의 보안공부

보안뉴스

아침에 일어나 보니 카카오톡으로부터 "카카오계정 보호조치 안내" 톡을 받았다. 내용을 보아하니 카카오 계정에 의심스러운 로그인 시도 등 비정상적인 시도가 감지되었고, 보호를 위한 일종의  조치가 취해진 것 같다.

자세히 알아보기를 통해 확인한 내용을 요약하면 유출된 비밀번호 사용, 비정상적 로그인 시도, 다수의 어뷰징이 발생한 환경에서 로그인 등이 발생하여 보호 조치가 취해졌으며, 비밀번호 변경, 로그인 기록 관리, 2단계 인증 설정, 국가별 로그인 설정을 대응 방안으로 안내하고 있다.

크게 의심되는 정황은 없어 우선 로그인 이력 조회(모바일 카카오톡 > 더보기 > 설정 > 카카오계정 > 로그인 관리 > 로그인 이력 조회)를 확인해 보았더니, 일반 로그인 이력에서는 특이사항이 없었으나, POP3/IMAP 이력에서 IP 27.255.91.225 (대한민국)에서의 로그인 시도가 확인되었다. 여러 사이트에 IP 조회를 해보니 모두 대한민국으로 조회되었고, ISP 업체는 국내 IT 기업으로 확인되나, 100% 신뢰하지는 않는다.

POP3 설정 안내를 확인해보니 설정 OFF의 경우, 로그인 시도는 있었지만 메일 서비스 이용은 실패한 상태라는 안내가 확인되었다. 좀 더 구글링을 해보니 POP3/IMAP을 사용할 경우 외부 메일을 끌어와서 볼 수 있는 기능으로 확인되었다. 예를 들어 네이버 메일에 POP3/IMAP 기능을 설정하면 스마트폰, 아웃룩 등에서 네이버 메일을 확인할 수 있게 된다. 정리하면 외부의 아무개가 다음메일의 POP3/IMAP 기능을 이용해 외부 메일과 연동하려는 시도가 있었던 것으로 판단된다.

그래서, 비밀번호 변경, 2단계 인증 사용, 국가별 로그인 제한을 설정했고, 이메일과 전화번호 또한 변경하였다. 다음 메일을 확인(다음 메일 > 설정 > IMAP/POP3)해 보니 POP3/IMAP을 사용 안 함으로 설정되어 있었다(디폴트로 사용 안 함으로 설정되어 있는 것으로 판단된다).  

또, 네이버 메일을 확인(메일 > 환경설정 > POP3/IMAP 설정)해 보니 역시 POP3/IMAP 사용 안 함으로 설정되어 있었다. 마찬가지로 기존에 사용 중이던 2단계 인증을 제외하고, 타 지역 로그인 차단, 해외 로그인 차단, 새 기기 로그인 알람, 새로운 환경 로그인 알림을 다시 설정해 적용하였다(과정 중에 로그인 전용 아이디라는 것이 있던데 오직 로그인만을 위한 아이디로써, 관련 정보를 좀 더 찾아봐야겠다). 추가적으로 만약 네이버 메일에서 POP3/IMAP을 사용할 경우 2단계 인증을 사용할 것을 권장하며, 이 경우 애플리케이션 비밀번호를 생성한 후 해당 비밀번호를 이용해야만 외부 메일 등록이 가능하다고 한다.

POP3/IMAP을 이용한 해킹 시도는 처음 겪어봐 무서우면서도 한편으로 어떻게든 해킹하려는 아무개가 대단하게 느껴지기도 했다. 보안을 전공하면서, 안전하게 인터넷 서비스를 이용하려 여러 노력을 하고 있지만, 좀 더 많은 주의가 필요하다는 것을 느끼게 된 하루였다.

1. 개요

- QR코드(Quick Response Code)란 컴퓨터가 생성한 흑백 격자무늬 코드로, 정보를 나타내는 매트릭스 형식의 이차원 코드 [1]

> 기존 바코드의 단점(작은 용량_최대 20여자 숫자 정보만 저장)을 개선해 더 많고 풍부한 정보를 작은 코드에 저장할 수 있게됨

> 동작 과정: QR코드 인식 → 이미지 처리(정보 추출) → 디코딩 및 오류 수정 → 작업 수행

- QR코드가 대중화되면서 다양한 장소(카페, 백화점, 서점, 전자출입명부 등)에서 활용됨

> QR코드를 인식하기 전 어떤 정보가 확인할 수 없다는 단점
> 이를 악용해, QR코드를 악용한 ‘큐싱(Qshing)’ 등장

2. 큐싱(Qshing)

- QR코드와 피싱(Phishing)의 합성어로, QR코드로 악성 앱 설치를 유도해 정보 탈취, 소액결재 등 악성 행위가 발생하는 범죄 수법

※ 피싱(Phishing): Private data와 Fishing의 합성어로 피해자를 속여 개인정보 또는 금융정보를 탈취하는 수법

- 2023 08~09월 동안 공격이 587%나 증가한 것으로 확인 [3]

- QR코드를 통해 악성 프로그램을 다운받게 하고, 개인정보를 빼내며, 공격 과정은 다음과 같음

① 악성 QR코드 인식
② 악성 URL 접속
③ 악성 앱 설치 유도 및 설치
④ 개인정보 및 금융정보 탈취

※ 피싱 관련 범죄 수법의 변화 과정
① 보이스피싱(Voice Phishing)
> 전화를 이용해 피해자를 기망 또는 협박해 개인정보 및 금융정보를 요구하거나, 금전을 이체하도록 유도
> Voice, Private Data, Fishing의 합성어로 Vishing이라고도 불림
> 특정 기관으로 속여 대출 권유, 자금이체 요구하는 경우 진위 여부 확인 등 의심 필요

② 스미싱(Smishing)
> SMS와 Phishing의 합성어
> 문자 등에 악성 링크를 포함해 발송하여 클릭을 유도하며, 사용자가 해당 링크에 접근할 경우 악성코드 설치, 개인정보 및 금융정보를 탈취
> 출처가 불분명한 링크 주의, 시각적으로 비슷한 글자 사용 여부 확인 등 주의 필요

③ 파밍(Pharming)
> Phishing과 Farming의 합성어
> DNS 서버를 해킹하거나 악성코드를 유포해 사용자가 접근한 사이트와 유사한 가짜 사이트로 접속되도록 해 개인정보를 탈취
> 악성코드를 통해 이뤄지므로 안티바이러스 최신버전 사용, 출처가 불분명한 메일, 웹 사이트 확인시 등 주의 필요

④ 큐싱(Qshing)

3. 대응방안

- 출처를 알 수 없는 앱의 설치를 허용하지 않도록 스마트폰 설정 변경
- 출처가 불분명한 경우(공공장소, E-mail 등) 인식 금지 (또는 주의)
- QR 코드 링크로 연결된 앱 다운로드 금지 (또는 주의)
- 검증된 공식 마켓에서 앱 다운로드 및 내용, 평한 확인 후 다운로드
- 모바일 백신 앱, 보안이 적용된 QR 스캐너 활용
- QR코드 결제 표준안 준수(국제 표준 준수, QR코드 자체 보안기능 탑재, 위변조방지 특수필름 부착 등) [5]

4. 참고

[1] https://www.qrcode.com/ko/
[2] https://nordvpn.com/ko/blog/what-is-a-qr-code/
[3] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[4] https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002950180
[5] https://www.fsc.go.kr/no010101/73398?srchCtgry=&curPage=262&srchKey=&srchText=&srchBeginDt=&srchEndDt=
[6] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[7] https://www.boannews.com/media/view.asp?idx=123158&kind=1&search=title&find=%B1%DE%C1%F5%C7%CF%B4%C2+%C5%B0%BD%CC+%B0%F8%B0%DD%2C+%C5%A5%BE%CB%C4%DA%B5%E5+%BD%BA%C4%B5
[8] https://namu.wiki/w/%EC%A0%84%EA%B8%B0%ED%86%B5%EC%8B%A0%EA%B8%88%EC%9C%B5%EC%82%AC%EA%B8%B0

보안뉴스

1. TeamCity

- JetBrains社에서 개발한 CI/CD(Continuous Integration/Continuous Delivery)

1.1 CI/CD (Continuous Integration/Continuous Delivery) [1][2]

- 소프트웨어 제공을 위한 일반적인 과정을(빌드(Build)-테스트(Test)-릴리스(Release)-배포(Deploy)) 자동화한 것

- 애플리케이션 개발 단계부터 배포까지 모든 단계를 자동화하여 효율적이고 빠르게 사용자에게 배포할 수 있음

1.1.1 CI (Continuous Integration, 지속적 통합)

- 빌드/테스트 자동화 과정

- 코드 변경 사항이 정기적으로 빌드 및 테스트되어 공유 리포지토리에 통합

- 커밋할 때마다 빌드와 일련의 자동 테스트가 이루어져 동작을 확인하고 변경으로 인한 문제가 없도록 보장

> 여러 명의 개발자가 동시에 코드 작업을 할 경우 발생할 수 있는 충돌 문제와 시간이 오래걸리는 문제를 해결

> 소스/버전 관리 시스템에 대한 변경 사항을 정기적으로 커밋하여 모든 사람들에게 동일 작업 기반을 제공

1.1.2 CD (Continuous Delivery, 지속적 제공)

- 배포 자동화 과정

- Continuous Deployment(지속적인 배포)를 의미하기도 하며, 두 용어는 상호 교환적으로 사용

- 파이프라인의 이전 단계(CI 단계)를 모두 성공적으로 통과하면 수동 개입 없이 자동으로 배포

> 품질 저하 없이 최대한 빨리 사용자에게 새로운 기능을 제공할 수 있음

2. 취약점

- JetBrains TeamCity 2023.05.4 이전 버전에서 발생하는 인증 우회 취약점

> 인증 우회 후 원격 명령을 실행할 수 있게됨

- 다이아몬드슬릿(Diamond Sleet)과 오닉스슬릿(Onyx Sleet)으로 불리는 북한 APT 조직들이 활발히 익스플로잇 하는 것으로 조사

> 취약점을 악용해 백도어와 멀웨어를 피해자 시스템에 유포해 모니터링, 정보 탈취 등 악성 행위 수행

※ 다이아몬드슬릿: 전 세계 IT, 미디어, 국방 분야 공략
※ 오닉스플릿: 미국, 한국, 인도의 IT, 국방 분야 공략

영향받는 버전
- JetBrains TeamCity 2023.05.4 이전 버전
※ TeamCity 버전은 로그인 페이지 하단에 표시되어, 공격자들은 손 쉽게 버전을 확인할 수 있음

2.1 취약점 상세 [4][5]

- TeamCity는 외부 응용 프로그램을 통합하기 위한 REST API를 제공

> /app/rest/users/<userLocator>/tokens 경로를 통해 사용자 인증 토큰을 생성

> {name} 매개변수를 통해 토큰에 대한 이름을 추가로 생성할 수 있음

- TeamCity는 요청 인터셉터(RequestInterceptors 클래스)를 사용해 모든 HTTP 요청에 대해 특정 작업을 수행

> 특정 작업 중 하나가 권한 부여 매커니즘

- 요청이 발생하면 해당 클래스의 preHandle 메서드가 호출

> preHandle 메서드는 requestPreHandlingAllowed를 호출해 요청이 사전 처리에 적합한지 여부를 결정

- requestPreHandlingAllowed 메서드는 요청된 경로가 사전 정의된 경로 목록과 일치 여부 확인

- RequestInterceptors 클래스에는 두 개의 사전 정의된 표현식이 존재

① /**/RPC2

② /app/agents/**

- 공격자는 경로 "/**/RPC2"를 만족하는 요청을 전송할 경우 인증을 우회할 수 있게됨 [6]

> [사진 3]에 의해 /app/rest/users/<userLocator>/tokens/{name}의 형태로 요청

> <userLocator>은 인증 토큰으로, 사용자마다 고유한 값을 가지는 것으로 판단됨 (ex. admin 계정의 경우 id:1)

> [사진 4] ~ [사진 6]에 의해 {name} 매개변수의 값으로 RPC2 지정

> 공격자의 요청은 /app/rest/users/id:1/tokens/RPC2 형태로, 서버는 관리자 권한을 지닌 새로 생성된 토큰을 반환

> 공격자는 반환된 토큰을 이용해 새로운 관리자 계정을 생성하는 등 추가 익스플로잇이 가능해짐

※ [사진 4]의 requestPreHandlingAllowed 메서드가 false를 반환하며, ! 연산에 의해 true가 되어 if 문을 만족해 이후 권한 부여 등 인증 과정을 우회할 수 있게됨

- 취약점 시연 영상 [6]

3. 대응방안

① 최신 버전 업데이트 적용 [7]

> 23.09.18 취약점을 수정을 포함한 2023.05.04 버전 배포

> 사전 정의된 요청 경로 중 /**/RPC2를 제거

4. 참고

[1] https://seosh817.tistory.com/104
[2] https://jud00.tistory.com/entry/CICD%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9D%BC%EA%B9%8C
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-42793
[4] https://www.sonarsource.com/blog/teamcity-vulnerability/#indicators-of-compromise
[5] https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis
[6] https://www.youtube.com/watch?v=O2p-6I8RK5c
[7] https://blog.jetbrains.com/teamcity/2023/09/cve-2023-42793-vulnerability-post-mortem/
[8] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71212
[9] https://www.boannews.com/media/view.asp?idx=122862&page=1&kind=1

보안뉴스

보안뉴스

1. Cisco IOS XE [1]

- 시스코에서 제조한 라우터 및 스위치에 사용되는 독점 네트워크 운영 체제 IOS(Internetworking Operating System) 중 하나

※ Network Operating System (NOS): 라우터 , 스위치 또는 방화벽 과 같은 네트워크 장치를 위한 특수 운영 체제

2. 취약점

- 인터넷이나 신뢰할 수 없는 네트워크에 노출된 Cisco IOS XE Software의 Web UI에서 발생하는 권한 상승 취약점 (CVSS: 10)

- 공격이 성공할 경우 공격자는 Level 15의 권한을 가지게 되어 모든 명령 실행 및 설정 변경 등이 가능해짐

- 또한, 불충분한 입력 값 검증으로 인한 명령 주입 취약점  CVE-2023-20273으로 이어져 악성 파일을 생성가능

> Cisco IOS는 액세스 권한 수준이 Level 0~15, 총 16가지로 나뉘어져 있으며, Level 별로 사용가능한 명령이 다름 [3]

영향받는 버전
- Web UI 기능을 활성화한 Cisco IOS XE Software

2.1 취약점 상세

- 구체적인 원인은 확인되지 않으나 알려진 내용에 따르면 4가지 조건이 확인됨

① 인터넷이나 신뢰할 수 없는 네트워크에 노출

② 웹 UI 기능 활성화

③ CVE-2021-1435 취약점 존재 [6]

④ 조작된 악성 HTTP 요청 전송 후 서버 재시작

※ 보안 연구원의 Shodan 검색 결과에 따르면 약 40,000개 이상의 장치가 위 ①,② 조건을 만족 [5]

※ CVE-2021-1435: Cisco IOS XE Software 웹 UI의 불충분한 입력값 검증으로인해 원격의 공격자가 루트 권한으로 임의의 명령을 실행할 수 있는 취약점

※ 해당 취약점은 2021년 패치

- 시스코의 Talos팀에서 공격에 사용된 것으로 판단되는 Lua로 작성된 코드를 공개 [7]

① HTTP POST 요청

② menu 매개변수가 존재할 경우(Null과 공백이 아닐경우) 일련의 문자열 반환

> Lua에서 nil은 아무것도 없는 텅빈 값을 의미하며, ~= 연산은 같지않음을 의미

③ logon_hash 매개변수가 1인 경우 18자의 16진수 문자열 반환

④ logon_hash 매개변수가 지정된 값과 일치하며, common_type 매개변수가 subsystem 또는 iox인 경우 실행 수준 결정

> common_type == subsystem: 코드가 시스템 수준에서 실행

> common_type == iox: 코드가 IOS 수준에서 실행 (Level 15)

3. 대응방안

① 벤더사 제공 업데이트 적용 [8]

> 해당 업데이트는 CVE-2023-20273에 대한 업데이트가 포함되어 있음

> 현재 해당 취약점 악용 시도가 활발히 진행되고 있어 신속한 업데이트 적용 필요

② 업데이트 불가 등의 경우 벤더사 제공한 보안 권고 적용 [9][10]

- 모든 인터넷 연결 시스템 상의 HTTP Server 기능에 대해 비활성화

> HTTP/HTTPS 통신이 필요한 서비스를 실행할 경우, 해당 서비스 접근을 신뢰할 수 있는 네트워크로 제한할 것

> 아래 명령 결과 ip http server 또는 ip http secure-server 출력될 경우 Web UI 기능이 활성화 (비활성화 방법 표 참고)

show running-config | include ip http server|secure|active

> 시스템 로그를 통해 아래 로그 유무 확인

> 아래 명령 실행 결과 16진수 문자열 반환 여부 확인 (문자열 반환시 취약점 노출)

curl -k -X POST "hxxps://systemip/webui/logoutconfirm.html?logon_hash=1"

> 새로 생성된 계정이 있는지 점검 및 확인

4. 참고

[1] https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-xe/index.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-20198
[3] https://learningnetwork.cisco.com/s/blogs/a0D3i000002eeWTEAY/cisco-ios-privilege-levels
[4] https://study-ccna.com/cisco-privilege-levels/
[5] https://www.hackread.com/cisco-web-ui-vulnerability-exploited-attackers/
[6] https://nvd.nist.gov/vuln/detail/CVE-2021-1435
[7] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
[8] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71220&menuNo=205020
[9] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[10] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[11] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71216&menuNo=205020
[12] https://www.hackread.com/cisco-web-ui-vulnerability-exploited-attackers/
[13] https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
[14] https://arstechnica.com/security/2023/10/actively-exploited-cisco-0-day-with-maximum-10-severity-gives-full-network-control/
[15] https://www.boannews.com/media/view.asp?idx=122729&page=1&kind=1
[16] https://www.boannews.com/media/view.asp?idx=122716&page=1&kind=1
[17] https://www.boannews.com/media/view.asp?idx=122968&page=2&kind=1
[18] https://www.boannews.com/media/view.asp?idx=123011&page=1&kind=1