티스토리

꼰머의 보안공부

검색하기

블로그 홈

꼰머의 보안공부

ggonmerr.tistory.com/m

공부하는 꼰머⭐️

구독자: 17

방명록 방문하기

주요 글 목록

“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건 요약- 포티넷코리아, ‘2025 글로벌 위협 환경 보고서’ 발표...정보 탈취 맬웨어 공격 500% 급증 - 카스퍼스키, 올해 1월부터 3월까지 국내에서 탐지한 인터넷 기반 사이버 공격이 3백만 건 상회내용- 포티넷코리아 '2025 글로벌 위협 환경 보고서’ 발표 > 2024년 사이버 위협 환경을 분석한 보고서 > 자동화, 상품화된 도구 및 AI를 활용해 기업의 기존 방어 체계를 무력화하고 있음을 보여줌 ① 2024년 사이버 공간에서의 자동화 해킹 시도가 전년 대비 16.7% 증가 - FortiGuard Labs은 해킹 시도가 초당 3만 6000건에 달한다고 설명 ② 다크넷 마켓플레이스(Darknet Marketplace)에서는 4만 개 이상의 새로운 취약점이 추가 - 2023년 대비 39% 증가했으며,.. 공감수 0 댓글수 0 2025. 5. 9.
BPFDoor 악성코드 1. 개요- 공격자는 BPFDoor 악성코드를 사용해 SK텔레콤을 해킹해 데이터를 탈취 [1][2][3][4]- BPF(Berkeley Packet Filter) 기술을 악용해 은닉성과 탐지 회피 > BPF란 OS 커널 레벨에서 동작하는 경량화된 VM 기술로, 네트워크 인터페이스를 통해 수신되는 패킷에 대해 커널 공간에서 직접 필터링 > 시스템 성능과 보안성을 향상시킬 수 있으나, 악성코드에 활용될 경우 탐지 회피 및 은닉성 강화 수단으로 사용됨2. 소스코드2.1 프로그램 초기화- 탐지 회피 > 프로세스 이름을 임의로 선택해 백도어를 일반 프로세스로 위장> 파일 타임스탬프를 2008년으로 위장 등 탐지를 회피하기 위한 과정을 진행int main(int argc, char *argv[]){ ... 공감수 1 댓글수 0 2025. 5. 9.
360XSS 1. 개요- 미상의 공격자가 Krpano의 reflected XSS 취약점을 악용해 대규모 스팸 광고 표시 [1]- 정상 웹 사이트(정부 포털, 대학교, 언론 매체, 기업 등)를 SEO 도구로 악용2. 주요 내용- 교육적 목적으로 크롬 시크릿 모드에서 구글에 접속하여 "포르노"를 검색> 예일대 도메인으로 포르노 광고가 표시되는 것을 확인- 서브도메인을 탈취해 사용자들을 악성 사이트로 연결되도록 공격을 진행한 것으로 의심> 서브도메인이 관리되지 않거나, 서비스는 중단되었으나 DNS CNAME 레코드를 삭제하지 않은 경우 공격자가 동일한 자원을 재등록> 기업의 서브도메인이 새로 등록된 공격자가 설정한 악성 사이트로 접속되도록 하는 공격※ CNAME Record : DNS 내에서 별칭 역할을 하며 한 도메인 .. 공감수 1 댓글수 1 2025. 5. 5.
SAP NetWeaver Visual Composer 파일 업로드 취약점 (CVE-2025-31324) 1. SAP NetWeaver Visual Composer- SAP NetWeaver : SAP의 애플리케이션 통합 및 실행 플랫폼으로, 다양한 SAP 모듈과 시스템 간 연결을 지원 [1] - SAP NetWeaver Visual Composer : NetWeaver 상에서 동작하는 시각적 UI 개발 도구로, 코드 없이 SAP 비즈니스 앱의 화면을 설계할 수 있음 [2]2. CVE-2025-31324- Metadata Uploader 컴포넌트에서 접근 제어가 제대로 이루어지지 않아 임의의 파일 업로드가 가능한 취약점 (CVSS: 10.0)> /developmentserver/metadatauploader 엔드포인트에서 접근 제어가 제대로 이루어지지 않아, 공격자가 인증 없이 JSP 웹셸 파일을 서버에 업.. 공감수 1 댓글수 0 2025. 5. 2.
북한 라자루스의 Innorix Agent 제로데이 취약점을 악용한 공급망 공격 시도 (Operation SyncHole) 1. 개요- 북한 해킹그룹 라자루스가 Innorix Agent 제로데이 취약점을 악용해 국내 공급망 공격 (Operation SyncHole) 시도 [1][2]- 워터링 홀과 서드파티 소프트웨어의 취약점을 결합해 국내 소프트웨어, IT, 금융, 반도체 제조, 통신 산업 등에 공격 시도- 공격에 악용된 취약점들은 한국인터넷진흥원(KrCERT)과 개발사에 알려져 패치된 상태2. 주요내용2.1 초기 벡터- 한국의 주요 언론 포털 웹사이트를 침해해 서버 측 스크립트 삽입 및 악성 도메인으로 리다이렉션> 워터링 홀(Watering Hole) 공격으로 사용자를 악성 도메인으로 리다이렉션 - Cross EX 배포사를 위장한 피싱 사이트에는 악성 자바스크립트가 삽입돼 있었으며, 이를 통해 Cross EX의 취약점을 악.. 공감수 3 댓글수 2 2025. 4. 29.
MCP Tool Poisoning Attack 1. 개요- 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)에서 Tool Poisoning Attack을 가능하게 하는 취약점 발견 [1]- AI 모델의 민감 데이터 유출 및 무단 행위로 이어질 수 있는 취약점2. 주요내용2.1 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)- AI 모델이 외부 데이터나 도구와 연결될 때 사용하는 표준화된 통신 방식 [2][3][4]> AI 모델이 특정 작업을 수행하기 위해 필요한 데이터를 외부에서 받아오거나, 외부 도구를 활용할 수 있도록 해주는 역할특징설명개방형 표준(Open Standard)오픈소스로 공개되어 있어 누구나 자유롭게 사용하고 개선할 수 있음> 앤트로픽이 개발하였으나, 어떤 AI 시스템에서도 사용할 .. 공감수 0 댓글수 0 2025. 4. 26.
CrushFTP 인증 우회 취약점 (CVE-2025-31161) 1. CrushFTP- 파일 전송 솔루션2. CVE-2025-31161- CrushFTP의 파라미터 오버로딩으로 인한 인증 우회 취약점 (CVSS: 9.8) [3][4]영향받는 버전- CrushFTP 11.0.0 ≤ 11.3.0 / 10.0.0 ≤ 11.8.3 - CrushFTP는 버전 10부터 AWS S3와 호환되는 API를 제공> 클라이언트가 Authorization 헤더를 포함하는 요청을 통해 S3 인증을 진행> 서버는 AccessKey 값을 추출해 사용자를 식별한 다음 Signature 값을 검증해 인증을 수행Authorization: AWS4-HMAC-SHA256 Credential=///s3/aws4_request, SignedHeaders=, Signature= - 취약점은 ServerSes.. 공감수 3 댓글수 0 2025. 4. 26.
KS한국고용정보 내부 데이터 유출 1. InfoStealer- 사용자의 시스템에 침투하여 정보를 탈취하는 멀웨어- 주로 피싱 메일, 크랙 및 불법 소프트웨어 등을 통해 유포> 계정 정보, 웹 브라우저 저장 정보 (쿠키, 자동 완성 등), 금융 정보 등을 탈취> 탈취한 정보를 악용해 크리덴셜 스터핑 공격 등 추가 공격이나 금전적 이득을 취함1.1 LummaC2- LummaC2 InfoStealer는 소프트웨어 크랙 버전으로 위장하여 유포 [2]- 사용자가 다운로드 및 실행하면 스크립트가 동작하여 악성코드에 감염※ 실제 공격에 사용된 악성코드와 차이가 있을 수 있음2. KS한국고용정보 내부 데이터 유출- 25.04.05 공격자는 LummaC2 InfoStealer를 이용해 KS한국고용정보 공식 도메인(ksjob.co[.]kr)의 관리자 계정.. 공감수 1 댓글수 0 2025. 4. 26.
코드 생성 LLM의 패키지 환각 문제에 대한 연구 (Slopsquatting) 1. 개요- LLM 기반 코드 생성 AI의 발전으로 생산성이 높아지는 등 효율성과 편의성이 크게 향상됨- 그러나 LLM이 실제로 존재하지 않는 패키지에 대한 참조를 포함하거나 추천하는 코드를 생성하는 패키지 환각(Package Hallucination) 문제가 발생- 공격자는 환각 또는 가상의 패키지와 동일한 이름으로 악성 패키지를 오픈소스 리포지토리에 게시하는 방식으로 공급망 공격을 수행할 수 있음> 전체 코드베이스 또는 소프트웨어 종속성 체인을 통해 확산되어 해당 패키지에 의존하는 모든 코드를 감염시킬 수 있음2. 주요내용2.1 패키지 혼동 공격- 최신 소프트웨어 개발은 중앙 집중식 패키지 리포지토리(PyPI, npm 등)에 의존> 누구나 새로운 코드 패키지/라이브러리를 업로드할 수 있어 멀웨어 배포.. 공감수 1 댓글수 0 2025. 4. 21.
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건 요약- CISA는 Oracle의 구형 시스템이 해킹된 사건과 관련, 자격 증명 유출로 인한 보안 침해 위험이 커졌다고 경고- 유출된 자격 증명이 재사용되거나 시스템 내 하드코딩되어 있을 경우 장기적인 접근권한 노출로 이어질 수 있음내용- 이번 침해는 오라클의 1세대 클라우드 서버(Oracle Cloud Classic)인 ‘Gen 1 서버’에서 발생> 공격자는 25년 초 CVE-2021-35587를 악용해 웹 셸과 악성코드 설치 및 사용자 관리 시스템인 IDM(Oracle Identity Manager) 데이터베이스에 접근> IDM(Oracle Identity Manager) 데이터베이스 : 사용자 이름, 이메일 주소, 암호화된 패스워드, 인증 토큰, 암호키 등의 민감한 정보가 포함※ CVE-2021-35.. 공감수 0 댓글수 0 2025. 4. 19.
Erlang/OTP SSH 서버 원격 코드 실행 취약점 (CVE-2025-32433) 1. Erlang/OTP SSH- Erlang: 고가용성을 요구하는 대규모 확장 가능한 소프트 실시간 시스템을 구축하는 데 사용되는 프로그래밍 언어- OTP(Open Telecom Platform): 이러한 시스템을 개발하는 데 필요한 미들웨어를 제공하는 Erlang 라이브러리와 설계 원칙의 집합 [1]- Erlang/OTP SSH: Erlang 시스템에서 SSH(Secure Shell) 기능을 구현한 라이브러리 [2]2. CVE-2025-32433- Erlang/OTP SSH 라이브러리를 기반으로 하는 SSH 서버의 SSH 프로토콜 메시지 처리의 결함으로 인한 원격 코드 실행 취약점 (CVSS: 10.0)> 악용에 성공할 경우 공격자는 인증 과정 없이 임의의 명령을 실행할 수 있음> SSH 데몬이 루트.. 공감수 0 댓글수 0 2025. 4. 18.
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정 요약- CA/Browser 포럼, 향후 4년간 SSL/TLS 인증서의 유효기간을 단축하기로 결정- 최종적으로는 2029년 3월부터 인증서의 유효기간이 47일로 줄어듦내용- CA/Browser 포럼> 인증서 발급 기관(CA)과 브라우저 개발사를 포함한 소프트웨어 업체들이 디지털 인증서의 보안 표준을 마련 및 유지하는 단체> 주요 구성원① 인증기관: DigiCert, GlobalSign 등② 기업: Google, Apple, Mozilla, Microsoft 등- 올해 초 Apple이 인증서 유효기간 단축 제안> Sectigo, Google Chrome 팀, Mozilla 등이 지지하며 논의 시작> 제안: 현재 398일인 유효기간을 점차 줄여 29.03에는 47일까지 줄이는 것> 목적① 오래된 인증서 데이터.. 공감수 0 댓글수 0 2025. 4. 18.
K-CTI 2025 1. 최근 국내 사이버공격 사례 및 대응방안- 침해사고 특징 및 사례APT 공격- 게이트웨이 장비: 최초 침투에 기업 내부(서버 팜)로 접속할 수 있는 게이트웨이(VPN 등) 장비 취약점- 보안인증 SW: 최초 침투에 기업 내부(단말)로 접속할 수 있는 국내 보안인증 SW 취약점- 중앙관리솔루션: 내부 전파에 악성코드를 배포할 수 있는 중앙관리솔루션 취약점- LotL(Living off the Land): 시스템에 설치된 정상 프로그램 활용- DLL Side Loading: 정상 프로그램 실행 시, 악성코드(DLL)를 함께 동작생성형 AI- AI 모델(서비스 ,프롬프트 등) 취약점 공격 시도 보다는 공격 대상의 정보 수집과 피싱, 해킹도구 개발, 가짜 뉴스 생산 등에 중점 이용사이버 사기- 알뜰폰 비대면.. 공감수 0 댓글수 0 2025. 4. 16.
해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의 요약- Fortinet은 최근 자사 FortiGate VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고- Fortinet은 FortiOS 최신 버전을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치내용- Fortinet > 해커가 FortiGate VPN 구버전 취약점을 악용한 공격 이후에도 여전히 '읽기 전용' 접근 권한을 유지하고 있음을 경고> SSL-VPN 기능을 악용해 기기 내부에 심볼릭 링크를 생성해 패치가 완료된 이후에도 시스템에 접근하는 새로운 지속 기법을 사용- FortiOS 내 알려진 취약점(CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등)을 통해 포티게.. 공감수 2 댓글수 1 2025. 4. 16.
Langflow 임의 코드 실행 취약점 (CVE-2025-3248) 1. Langflow- 대규모 언어 모델(LLM)과 다양한 데이터 소스를 활용하여 AI 애플리케이션을 시각적으로 설계하고 구축할 수 있는 low-code 플랫폼 [1][2]- Python 기반으로 개발되었으며, 특정 모델, API, 데이터베이스에 구애받지 않고 유연하게 사용 가능2. CVE-2025-3248- /api/v1/validate/code에서 발생하는 임의 코드 실행 취약점 (CVSS : 9.8)영향받는 버전Langflow 1.3.0 미만 버전 - /api/v1/validate/code : LLM이 생성한 코드의 유효성을 검증하는 API> 해당 API를 누구나 호출 가능> validate_code()를 내부적으로 호출 [4]async def post_validate_code(code: Code).. 공감수 0 댓글수 0 2025. 4. 16.
Fast Flux 공격 1. 개요- 주요국 사이버보안 당국이 공동으로 Fast Flux 기법의 위험성 경고 [1]- DNS 레코드를 빠르게 변경하여 악성 서버의 위치를 은폐하여 탐지를 (지속적으로) 회피하기 위해 사용2. 주요내용- 악의적인 공격자가 공격을 진행할 때 상태 업데이트 및 추가 명령을 받기 위해 "Call Home(≒C2)"을 사용> Fast Flux를 활용해 해당 통신이 악성으로 탐지되어 차단될 가능성을 줄일 수 있음> Fast Flux는 단일 도메인과 관련된 DNS 레코드(Ex. IP 주소)를 빠르게 변경하는 도메인 기반 기술> Single flux와 Double flux 기법이 존재 2.1 Single flux- 하나의 도메인이 다수의 IP와 연결되어 IP가 빠르게 순환하는 방식> 하나의 IP 주소가 차단 또.. 공감수 0 댓글수 0 2025. 4. 12.
Cisco CSLU 하드 코딩된 자격 증명 및 과다 로깅 취약점 (CVE-2024-20439, CVE-2024-20440) 1. Cisco CSLU- Cisco Smart License Utility Manager [1]- 사용자가 Smart Licensed 지원 제품 인스턴스를 호스팅 된 Cisco Smart Software Manager에 직접 연결하지 않고도 장치를 관리 할 수 있도록하는 Windows 기반 솔루션2. 취약점2.1 CVE-2024-20439- 인증되지 않은 원격 공격자가 정적 관리자 자격 증명을 사용하여 시스템에 로그인할 수 있는 취약점 (CVSS: 9.8)> 계정 정보가 소스 코드 내 하드 코딩 되어있어 공격자는 CSLU API를 통해 관리자 권한으로 로그인 가능※ CSLU가 수동 실행된 상태에서만 공격 가능 (CSLU는 기본적으로 백그라운드에서 자동 실행되지 않음)영향받는 버전- Cisco Sma.. 공감수 0 댓글수 0 2025. 4. 5.
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 요약- 깃허브, 24년 한 해 저장소에서 3,900만 건 이상의 비밀정보 유출(발견) - 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편내용- 비밀정보 유출은 최근 소프트웨어 개발 과정에서 가장 심각한 보안 위협 중 하나로 부상 > 작년 한 해 동안 깃허브의 비밀정보 스캔(Secret Scanning) 기능을 통해 3,900만 건이 넘는 민감 정보가 공개 및 비공개 저장소에서 발견 > 개발 속도가 빨라질수록 비밀정보 유출도 그만큼 증가하고 있음을 보여줌 - 깃허브 > 22.04 비밀정보가 포함된 코드를 푸시(Push)하는 것을 방지하는 ‘푸시 보호(Push Protection)’ 기능을 도입 > 24.02부터는 이를 모든 공개 저장소에 기본 적용 > 그럼에.. 공감수 1 댓글수 0 2025. 4. 4.
브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가 요약- VMware Workstation의 자동 업데이트 기능에 최근 심각한 문제 발생 - 인증서 검증 오류가 발생해 소프트웨어 업데이트 기능이 중단내용- 브로드컴(Broadcom)이 업데이트 서버 주소를 일반 지원 페이지로 리디렉션 > 인증서 검증 오류가 발생해 소프트웨어 업데이트 기능 중단 - 기존 VMware Workstation이 실행될 때 자동 또는 수동으로 업데이트가 가능 > 이때 소프트웨어는 hxxps://softwareupdate.broadcom[.]com/cds 서버에 접속해 최신 버전 확인 및 다운로드 - 그러나 현재 해당 URL은 브로드컴의 일반 지원 페이지인 hxxps://support.broadcom[.]com/으로 리디렉션 > 이로 인해 프로그램은 다음과 같은 인증서 오류 메시지.. 공감수 1 댓글수 0 2025. 4. 4.
팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주의 요약- Palo Alto Networks GlobalProtect VPN 포털을 대상으로 한 스캔 활동이 급증 - 약 2만4천 개 고유 IP 주소가 관여하였으며, 향후 취약점 악용 가능성에 대한 우려 증가내용- 25.03.17부터 시작돼 하루 최대 2만 개에 달하는 고유 IP 주소가 스캔 시도 > 03.26까지 규모 유지 > 23,800개 IP는 ‘의심스러운(suspicious)’ 활동으로 분류됐으며, 154개는 실제 ‘악의적인(malicious)’ 활동을 한 것으로 확인 > 03.26 PAN-OS 크롤러 활동 급증 )해당 스캔에는 별도로 2,580개 IP 확인) - 위협 인텔리전스 기업 그레이노이즈(GreyNoise) > 네트워크 스캔 급증은 일반적으로 새로운 취약점 공개나 악용 시도에 앞서 발생하는 .. 공감수 0 댓글수 0 2025. 4. 4.
치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 외 1건 요약- 사이버보안 연구진이 랜섬웨어 조직 ‘블랙락(BlackLock)’의 온라인 인프라에 침투 - 주요 운영 정보 확보내용- 블랙락(BlackLock) > 이전에 엘도라도(Eldorado)라는 이름으로 활동 > 24.03경부터 활동을 본격화한 Ransomware-as-a-Service(RaaS) 조직 > 기술, 제조, 건설, 금융, 유통 등 다양한 산업 및 미국, 영국, 캐나다, 프랑스, 이탈리아 등 여러 국가를 공격 - 미국 보안 기업 리시큐리티(Resecurity) > 블랙락이 다크웹에서 운영하던 데이터 유출 사이트(DLS)에 로컬 파일 포함(Local File Inclusion, LFI) 취약점이 존재함을 발견 > 해당 취약점은 웹 서버에 경로 이동(Path Traversal) 공격을 가해 서버 내.. 공감수 0 댓글수 0 2025. 4. 3.
KISA, 해킹 진단 도구 업데이트..리눅스 추가 지원 요약- KISA, 해킹 진단 도구 업데이트 - 리눅스 추가 지원 및 사용자 편의 기능 등 추가내용- KISA 해킹 진단 도구 > 23년 기업이 자체적으로 해킹 사고 여부를 점검할 수 있도록 개발 및 시범 배포 > 24년 정식 버전 배포 및 지속적 기능 개선 > 관리자 계정 접속 시도나 데이터 유출 시도 등의 주요 증거 데이터를 분석> 해킹 여부를 빨강(심각)-주황(주의)-녹색(정상) 3단계로 제시 > 점검 결과를 통해 해킹이 의심되면, KISA에 침해사고 분석 기술지원 서비스를 받아 원인 분석부터 재발 방지 대책 수립까지 지원받을 수 있음 - 이번 업데이트에서 리눅스 추가 지원을 통해 활용 범위 확대 > 윈도우용 점검 도구는 사용자 편의를 돕기 위해 증거 데이터 수집 항목 추가, 탐지룰 제작 기능 개선,.. 공감수 0 댓글수 0 2025. 4. 3.
IngressNightmare 취약점 (CVE-2025-24514, CVE-2025-24513, CVE-2025-1097, CVE-2025-1098, CVE-2025-1974) 1. Ingress NGINX Controller- Ingress란 클러스터 외부에서 내부로 접근하는 요청들을 어떻게 처리할지 정의해둔 규칙들의 모음 [1][2][3][4] - Ingress Controller란 Ingress 리소스에 정의된 규칙을 읽고, 해당 규칙에 따라 트래픽을 라우팅 [1][2][3][4] - Ingress NGINX Controller란 NGINX를 역방향 프록시 및 로드 밸런서로 사용하는 Kubernetes용 Ingress Controller [5][6]2. 주요내용 [7]- Ingress NGINX Controller의 구조적 설계 문제로 공격자가 악의적인 Ingress 객체를 전송하여 임의의 NGINX 설정을 주입할 수 있음> 취약점 악용에 성공 시 클러스터 내 모든 시크릿.. 공감수 0 댓글수 0 2025. 3. 28.
Next.js 미들웨어 인증 우회 취약점 (CVE-2025-29927) 1. Next.js [1]- 풀 스택 웹 애플리케이션을 구축하기 위한 React 기반의 오픈소스 자바 스크립트 프레임워크2. CVE-2025-29927- Next.js의 미들웨어 (Middleware)의 권한 검사를 우회할 수 있는 인증 우회 취약점 (CVSS: 9.1)> 미들웨어 (Middleware)는 요청을 처리하는 과정에서 사용자 인증 및 권한 검사를 수행> x-middleware-subrequest 헤더를 조작해 미들웨어 기반의 보안 검사 우회영향받는 버전Next.js- 15.x - 14.x - 13.x - 12.x - 무한 루프를 방지하기 위해 x-middleware-subrequest 헤더 사용 [3][4]① 사용자 요청에서 x-middleware-subrequest 헤더 추출② ':'를 .. 공감수 1 댓글수 0 2025. 3. 28.
Apache Tomcat 원격 코드 실행 취약점 (CVE-2025-24813) 1. CVE-2025-24813- Apache Tomcat에서 발생하는 원격 코드 실행 취약점 (CVSS : 9.8)> Partial PUT 기능과 기본 서블릿에 대한 쓰기 권한이 결합되어 발생 > 공격자는 취약점을 악용해 원격 코드 실행, 정보 유출 및 손상 등의 악성 행위를 수행할 수 있음 - 영향받는 버전> Apache Tomcat 9.0.0.M1 ~ 9.0.98 > Apache Tomcat 10.1.0-M1 ~ 10.1.34 > Apache Tomcat 11.0.0-M1 ~ 11.0.2 - 취약점을 악용하기 위한 4가지의 전제 조건> 다음 4가지 조건 모두를 만족해야 취약점이 발생① 쓰기 가능한 Default Servlet> Default 비활성화② 부분 PUT (Partial PUT) 지원> D.. 공감수 2 댓글수 0 2025. 3. 25.
GitLab SAML 인증 우회 취약점 (CVE-2025-25291, CVE-2025-25292) 1. GitLab [1]- 소프트웨어 개발 및 협업을 위한 다양한 솔루션을 제공하는 웹 기반 DevOps 플랫폼 > 깃 저장소 관리, CI/CD, 이슈 추적, 보안성 테스트 등 > GitLab CE: Community Edition / GitLab EE: Enterprise Edition2. 취약점2.1 CVE-2025-25291 및 CVE-2025-25292- 오픈소스 ruby-saml 라이브러리에서 REXML과 Nokogiri가 XML을 서로 다르게 파싱하여 발생하는 인증 우회 취약점 (CVSS: 9.3) [2][3]> ruby-saml : Ruby 언어에서 SAML (Security Assertion Markup Language) Single Sign-On(SSO)를 구현할 수 있도록 도와주는 라이.. 공감수 0 댓글수 0 2025. 3. 22.
GitHub Action 공급망 공격 (CVE-2025-30066, CVE-2025-30154) 1. tj-actions/changed-files [1]- 리포지토리에서 파일 변경 사항을 추적(감지)하는 용도로 활용- 약 23,000개 이상의 리포지토리에서 사용중2. reviewdog/action-setup [2][3]- 코드 리뷰 및 정적 분석을 자동화하는 데 사용3. 주요 내용- 공격자는 GitHub Action reviewdog/action-setup@v1를 감염시킨 후 이를 통해 tj-actions/changed-files를 침투 [4][5][6]> CI/CD 러너(Runner) 메모리 데이터를 덤프해 환경 변수와 비밀 키를 로그에 기록하도록 조작> 이로 인해 AWS 액세스 키, 깃허브 개인 액세스 토큰(PAT), NPM 토큰, 개인 RSA 키 등이 외부로 노출될 수 있음- 공격자는 revi.. 공감수 2 댓글수 0 2025. 3. 20.
GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다 요약- 해외에서 12,000곳의 깃허브 리포지토리를 접근 계정을 겨냥한 대규모 사이버 공격이 최근 발생 - 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도내용- 해외에서 12,000개의 GitHub 리포지토리를 대상으로한 피싱 공격이 발생> 가짜 보안 경고를 문제로 개발자를 속여 계정과 코드에 대한 전체 제어권 획득 시도> Security Alert: Unusual Access Attempt> 특정 IP에서 비정상적인 활동이 발생했음을 경고> 계정이 침해당했으며, 비밀번호를 변경하고 세션 검토 및 관리, 2단계 인증 활성화 안내 내용을 포함- 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도> 사용자가 로그인하여 악성 OAuth 앱을 인증하면 액.. 공감수 2 댓글수 0 2025. 3. 18.
Kibana 임의 코드 실행 취약점 (CVE-2025-25015) 1. Kibana- ELK의 구성 요소 중 하나로, 데이터 시각화 및 분석을 위한 오픈 소스 도구 [1]- Elasticsearch에 저장된 데이터를 쉽게 시각화하고 탐색 및 분석할 수 있는 웹 인터페이스를 제공- 사용자가 Elasticsearch에 쿼리를 실행하고, 결과를 시각화(Discover, Visualize, Dashboard, Canvas, Maps 등)하여 분석할 수 있도록 도와줌1.1 ELK- Elasticsearch, Logstash, Kibana의 조합으로, 데이터 수집 및 분석을 위한 오픈 소스 솔루션 [2]> Beats : 데이터 수집 담당※ 데이터를 안정적으로 버퍼링하고 전달하기 위해 Redis, Kafka, RabbitMQ 등과 같이 사용할 수 있음> Logstash : 다양한 .. 공감수 1 댓글수 0 2025. 3. 15.
PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의 요약- Windows 서버 대상 PHP 원격 코드 실행 취약점(CVE-2024-4577) 악용 사례 급증- 공격에 성공할 경우 시스템 전체가 장악될 위험이 있어 기업 및 기관의 신속한 대응이 요구내용- CVE-2024-4577> Windows 환경에서 PHP의 CGI 구현이 문자 인코딩 변환을 적절히 처리하지 못해 발생> 윈도우 코드 페이지의 ‘Best-Fit’ 기능이 특정 유니코드 문자를 PHP 명령줄 옵션으로 잘못 해석해 명령 실행 가능> 공격자는 일반 대시(-, 0x2D)가 아닌 소프트 하이폰(-, 0xAD)를 사용> PHP-CGI 8.3.8 이전 버전, 8.2.20 이전 버전, 8.1.29 이전 버전에 영향> PHP-CGI 8.3.8, 8.2.20, 8.1.29 버전에서 취약점을 수정- 25.01.. 공감수 1 댓글수 1 2025. 3. 15.

문의안내

티스토리
로그인
고객센터

티스토리는 카카오에서 사랑을 담아 만듭니다.