'MagicLine4NX' 태그의 글 목록

MagicLine4NX

北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 외 2건 2023.11.08
드림시큐리티 MagicLine4NX BoF 취약점 2023.03.31

北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 외 2건

2023. 11. 8. 15:28

요약	- 국정원, 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격 지속 수행 확인 - 빠른 업데이트 권고 및 백신사 등과 합동으로 구버전 S/W 자동 삭제 등 능동적 대응 계획 발표
내용	- 지난 6월 국정원은 北 정찰총국이 보안인증 S/W 취약점을 악용한 해킹 확인 > 공공기관·언론사·방산·IT 등 50여개 기관을 해킹 > 신속한 해당 S/W 업데이트 및 삭제를 당부 - 공격에 사용한 S/W는 ‘MagicLine4NX(매직라인)’ > 국가·공공기관, 금융기관 등 홈페이지에 공동인증서를 활용하여 로그인할 경우 본인인증을 위해 설치되는 S/W > 대부분의 기관은 국정원의 권고에 따라 업데이트 또는 삭제 등의 조치 완료 - 일부 기관과 일반 사용자들은 업데이트나 삭제를 하지 않아 여전히 해킹에 악용되는 것을 탐지 > 패치가 안 된 일부 환경을 악용해 해킹 인프라 재구축 정황 포착 > 사용자가 해킹된 홈페이지 방문시 해킹에 노출되는 등 피해 확장 우려 - 국정원 관련 기관과 합동해 기업과 일반 사용자를 구분해 보안대책 시행 > 기업: 기관내 설치된 백신(기업용)에서 구버전 S/W(MagicLIne4NX 1.0.0.26 버전 이하)를 탐지, 삭제 > 사용자: ‘구버전 삭제 전용도구 및 업데이트 도구’를 활용 또는 직접 삭제
기타	- 보안권고문 배포와 언론보도 등 보안조치 권고 > 취약한 S/W 구버전이 설치된 PC가 여전히 많아 공격 재개시 막대한 피해 우려

보안뉴스

北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중!

국정원이 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자

www.boannews.com

[긴급] 북한 해킹조직 ‘보안인증 SW 취약점’ 악용 해킹 공격 주의보 발령 - 데일리시큐

국정원은 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자

www.dailysecu.com

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

'보안뉴스' 카테고리의 다른 글

국가 행정전산망 장애 발생... 정부기관 및 지자체 온라인 서비스 차질 외 9건 (0)	2023.11.20
확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯 (0)	2023.11.11
북한, 2,000만명 사용 전자상거래 앱 사칭한 앱 공격! (1)	2023.10.26
북한 해커들, 프리랜서로 재택 근무해 번 돈을 정권 무기 개발에 바쳤다 외 6건 (0)	2023.10.23
사건 대응 모의 훈련을 실시할 때 가장 많이 저지르는 실수 6 (0)	2023.10.19

드림시큐리티 MagicLine4NX BoF 취약점

2023. 3. 31. 20:54

1. MagicLine4NX

- 드림시큐리티에서 제작한 Non-PlugIn 기반의 인증서 인증, 전자서명, 웹구간 암복호화 솔루션

2. 취약점

- MagicLine4NX에서 입력값 검증 미흡으로 인해 발생하는 버퍼오버플로우 취약점

- 이를 악용해 공격자는 악성코드 유포, 원격 명령 실행 등의 악성 행위를 할 수 있음

- 라자루스 해킹조직이 악성코드 유포에 MagicLine4NX 취약점을 악용한 사례가 확인됨

영향받는 버전
- MagicLine 4.0 1.0.0.1 ~ 1.0.0.26 버전

2.1 취약점 상세

- MagicLine4NX는 시작 프로그램에 등록됨

- 프로세스가 종료되더라도 특정 서비스 (MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주

- 라자루스 해커그룹의 공격 방식은 다음과 같음

① MagicLine4NX 취약점을 통해 svchost.exe 프로세스에 인젝션

② 악성 프로그램 다운로드 및 실행

3. 대응방안

① 최신버전 업데이트 적용

- MagicLine 4.0 1.0.0.27 버전

※ MaginLineNX가 설치되어 있는 경우 삭제 후 재설치

② 취약한 버전의 MagicLineNX가 설치된 경우 삭제조치

- 버전 확인 방법

> [내 컴퓨터] – [로컬 디스크(C:\)] – [Program Files(x86)] – [DreamSecurity] – [MagicLine4NX] 경로로 이동
> MagicLine4NX에 마우스 오른쪽 버튼 클릭 – 속성 – 자세히 탭 클릭 – 파일 버전 확인

- 프로그램 삭제 방법

> [시작] - [시스템] - [제어판] - [프로그램 및 기능] - MagicLineNX 선택 - [제거] 클릭

> [내 컴퓨터] - [로컬 디스크(C:\)] - [Program Files(x86)] - [DreamSecurity] - [MagicLin4NX] 경로로 이동 - MagicLine4NX_Uninstall.exe 프로그램 실행

4. 참고

[1] https://asec.ahnlab.com/ko/50134/
[2] https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=27568&pageIndex=1#LINK
[3] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71023
[4] https://www.boannews.com/media/view.asp?idx=115500&kind=1&search=title&find=%BA%CF%C7%D1 \

'취약점 > BoF' 카테고리의 다른 글

Redis 스택 버퍼 오버플로우 취약점 (CVE-2024-31449) (1)	2024.11.23
DrayTek BoF 취약점 (CVE-2024-41592, CVE-2024-41585) (0)	2024.11.11
Citrix Bleed (CVE-2023-4966) (1)	2023.11.28
GNU C 라이브러리 Dynamic Loader BoF_Looney Tunables (CVE-2023-4911) (1)	2023.10.10

PREV 이전 1 NEXT 다음

꼰머의 보안공부