요약 - 취약점 점검은 갈수록 중요해지는 중
- 자동화 기술을 통한 취약점 점검뿐만 아니라 수동 취약점 점검 또한 중요
내용 - 취약점 점검은 시스템의 약점을 찾는 것을 기본으로 함
> 보이지 않는 위협으로부터 시스템과 디지털 공간을 안전하게 보호하는 것도 포함

- 수동 취약점 평가
① 인증 및 권한 테스트
> 인증 테스트는 승인된 사용자만이 시스템에 접속할 수 있는지, 혹은 그렇지 않은 사람들도 접속 가능한지를 확인
> 권한 테스트는 접속한 사용자에게 적절한 권한이 부여되는지를 검증
> 권고: 여러 문자를 섞어 적당히 긴 비밀번호, 다중 인증, 중앙 관리 시스템, 최소 권한의 원칙, 접근 기록 정기적 검토

② 비밀번호 관리
> 사용자가 비밀번호를 저장하고 관리하는 최적의 접근 방식을 따르도록 하는 지침들을 마련해 전파하는 것까지를 포함
> 정상적인 권한을 가지고 있지 않은 사람이 시스템과 네트워크에 접근하는 것을 막는 것을 목표로 함
> 권고: 로그인 시도 횟수 제한

③ 세션 관리
> 세션 쿠키 재사용을 통해 정상 사용자의 권한을 그대로 가지고 접속할 수 있음
> 권고: 강력하고 고유한 세션 식별자 설정, HttpOnly 또는 Secure 플래그를 설정, 세션 타임 아웃

④ SQL 주입
> 웹 애플리케이션에서 가장 흔히 나타나면서도 대단히 위험한 취약점
> 권고:매개변수화 된 쿼리 사용, 입력 값 제한 및 검증 강화, DB 접근 권한 최소한 사용자에게 부여

⑤ 교차 사이트 스크립팅(XSS)
> 권고: 입력 값 제한 및 검증 강화, 매개변수화 된 URL과 코드 사용, 콘텐츠 보안 정책(CSP) 헤더를 구축, 인라인 자바스크립트 지양

⑥ URL 조작
> URL 조작 테스트는 웹 애플리케이션이 URL 조작 공격에 얼마나 노출되어 있는지를 파악하는 것
> 무단 접근, 데이터 유출, 그 외 여러 보안 문제를 사전에 막기 위해 실시
> 여러 가지 유형의 테스트가 존재
⒜ 경로 탐색(path traversal) : URL 경로를 다른 것으로 바꿈으로써 다른 디렉토리에 접근
⒝ 매개변수 변조(parameter tampering) : URL의 매개변수를 수정하여 애플리케이션이 비정상적으로 작동하게 함
⒞ 디렉토리 목록화(directory enumeration) : 숨겨진 디렉토리를 찾는 데 도움이 됨
⒟ 불안전 디렉토리 객체 참조(IDOR) : URL에서 식별자를 조작하여 접근이 허용되지 않은 자원에 접근
⒠ 강제 브라우징(forceful browsing) : URL을 직접 입력함으로써 피해자의 브라우저가 악성 페이지에 접근하도록 함
⒡ URL 우회 접속 : URL 매개변수나 URL 그 자체를 조작하여 다른 곳으로 접속하게 유도
⒢ URL 매개변수를 통한 SQL 주입 : 말 그대로 URL 매개변수에 SQL 명령을 삽입
⒣ XSS : URL 매개변수에 SQL 주입 명령을 삽입
⒤ 세션 ID 조작 : URL에 포함되어 있는 세션 ID를 조작하여 세션 탈취 공격을 진행
⒥ 파일 업로드 테스트 : 파일 업로드 매개변수를 조작하여 업로드를 제한하거나 악성 파일을 업로드

- 수동 취약점 점검을 통해 반드시 찾고 고쳐야 하는 것: 사용자 입렵값을 처리하는 기능
> 다음으로 중요한 것: 최소 권한의 법칙
기타 - 코드를 세밀하게 검토하고, 입력 값을 검증하고, 인증 메커니즘을 철저히 분석할 때 수동으로 테스트를 진행하는 게 중요
> 자동 기술로 하면 놓칠 만한 것들을 찾아낼 수 있게 됨

 

보안뉴스

 

자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검

취약점 점검이라는 보안의 기본 실천 사항은 갈수록 중요해지고 있다. 취약점이 많아지고 있기도 하고, 그 취약점을 통해 침투하는 것을 공격자들이 점점 더 능숙하게 구사하기 때문이기도 하

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
요약 - 2022년에 발생한 보안 사고의 74%는 인간과 인간 사이 상호작용으로부터 비롯
- 소셜엔지니어링 감사를 불필요한 자원 낭비로 여기며, 모의 해킹만으로도 충분하다고 생각
내용 - IT 보안 기능 감사, 네트워크 경계 검사, 모의 해킹, 취약점 실험 등
> 보통 1년에 한 번 진행하며, 현재 IT 환경의 상태를 입체적으로 볼 수 있게 해줌
> 그러나 인적 요소라는 구멍이 존재

- 케빈 미트닉(Kevin Mitnick)
> 무작위 대입 방식 공격에서 속임수를 동원해 사용자들로부터 비밀번호 탈취
> 공격자들은 사람의 심리를 잘 이해해 신뢰 관계 구축

- 피싱 공격
> 일년에 수억 번씩 발생하는, 지겹도록 많이 보는 유형의 위협
> 주변 사람으로 위장해 첨부파일, 링크 등을 포함 및 실행시 멀웨어 유포
> 피싱 외에도 기밀 유출, 개인정보 무단 유출 등 다양한 인적 위험 존재

- 소셜엔지니어링 감사
> 보안 교육이 얼마나 잘 되어 있고 보안 인지 수준이 어느 정도인지 평가하는 것
> 찾아낸 결과를 상세히 문서화 하여 주기적 점검
> 점검 및 확인 작업을 수월하도록 취약한 부분이 발견된 부서들을 목록화
> 해당 목록들이 블랙리스트로 보여지지 않도록 주의

- 소셜엔지니어링 감사시 참고 사항
> 모든 부서가 협조, 참여해야 하며 결과에 대한 책임을 배분
> 1년에 한 번 또는 분기별 한 번이 아닌 수시로 진행
> 당사자와 회사가 같이 문제를 해결하는 방향으로 나아가야함
> 사용자들의 불편을 최소화 하는 방향으로 해결책 마련
기타 -

 

보안뉴스

 

회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사

2022년에 발생한 보안 사고의 74%는 인간과 인간 사이 상호작용으로부터 비롯됐다고 버라이즌(Verizon)은 발표했었다. 그래서 많은 기업들이 회사의 보안 상태와 취약점을 점검할 때 소셜엔지니어

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

북한이 최근 사용하는 공격 전략, 조만간 마이터 서브테크닉에 추가된다  (0) 2024.04.14
베트남 해킹그룹 코랄레이더, 한국과 아시아 전역 금융 데이터 표적 공격중...주의  (0) 2024.04.07
현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다  (0) 2024.03.04
한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고 외 3건  (0) 2024.02.21
 

Log4j 취약점 분석 #1 개요

2021년 말 역사상 최악의 보안 취약점이 발견되었다. 해당 취약점은 단 한 줄의 명령으로 익스플로있이 가능하며, CVE-2021-44228로 명명 및 CVSS 10점을 부여받았다. 대부분의 기업 및 기관이 Log4j를 사

ggonmerr.tistory.com

 

Log4j 취약점 분석 #2 취약점 분석

Log4j 취약점 분석 #1 개요 2021년 말 역사상 최악의 보안 취약점이 발견되었다. 해당 취약점은 단 한 줄의 명령으로 익스플로있이 가능하며, CVE-2021-44228로 명명 및 CVSS 10점을 부여받았다. 대부분의

ggonmerr.tistory.com

 

마지막으로 현재는 패치가 완료된 상태이나 Log4j 취약점 대응방안을 정리한다.

 

1. KISA

주요 골자는 최신 버전 업데이트 적용이며 업데이트가 불가능할 경우 JndiLookup 클래스를 제거한다.

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

2. 취약점 점검

먼저 현재 사용중인 Log4j의 버전을 확인하여, 취약점이 존재하는 버전일 경우 최신 버전으로의 업데이트를 적용한다.

로그프로세소 등의 기업이 취약점 대응을 위한 스캐너를 배포하였으며, 해당 스캐너 등을 사용한다.

 

Log4j 버전 확인 방법

1. pom.xml 파일을 열고 "Log4j-core"로 검색해 설치된 버전 정보를 확인 가능하다.

2. 리눅스의 경우 find / -name | grep 'log4j' 명령을 수행하여 파일명 "log4j-core-버전명.jar"를 확인한다.

 

해당 취약점 점검 도구 중 https://log4shell.huntress.com/를 이용하면 보다 편리하게 점검할 수 있다. 해당 사이트에서 LDAP 서버를 구축해 수행하는 쿼리도 제공 한다. 하지만 해당 사이트에 대한 정당한 보안성 검토가 필요하다.

 

Huntress - Log4Shell Tester

Huntress Log4Shell Vulnerability Tester Our team is continuing to investigate CVE-2021-44228, a critical vulnerability that’s affecting a Java logging package log4j which is used in a significant amount of software. The source code for this tool is avail

log4shell.huntress.com

3. 보안 장비에서 탐지

공격자들이 해당 취약점을 이용하기 위해 일정한 패턴(%{jndi:ldap 등)을 사용하는데, 

해당 패턴들을 보안 장비에 등록하여 공격 시도를 탐지 및 차단할 수 있도록 한다.

[캡쳐 1] https://aws.amazon.com/ko/blogs/korea/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/

위 사진을 통해 공격이 발생하지 않도록 할 수 있는 상황은 다음과 같다(이중 하나라도 차단이 되면 공격 불가).

1) WAF를 통해 패턴 차단

2) Log4j를 사용하지 않는 경우

3) Log4j 취약점이 패치된 최신 버전을 사용중인 경우

4) JNDI LookUp을 사용하지 않는 경우

5) Log4j를 사용하나 로그 기록 형태를 공격자가 알 수 없는 형태로 기록하는 경우

6) 공격자의 LDAP 서버와의 통신이 불가한 경우 (IP, Port 차단 또는 도메인 차단 등)

'취약점 > 4Shell' 카테고리의 다른 글

Text4Shell (CVE-2022-42889)  (0) 2022.11.20
Spring4Sell 취약점(CVE-2022-22965)  (0) 2022.11.12
Log4j 취약점 분석 #2 취약점 분석  (0) 2022.07.15
Log4j 취약점 분석 #1 개요  (0) 2022.07.14

+ Recent posts

티스토리툴바