Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks

Posted on 2023-06-15 - 2023-06-15 by admin

Caution

This post contains description and/or code about security vulnerability. All the information has been collected from various sources. The description and/or explanation were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or mis-understand. I respect the copyright of every articles and their policies. so I am trying to keep it. Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

이 글은 본문에 실제 공격 가능한 보안 취약점에 대한 설명과 코드를 포함하고 있습니다.
보안 취약점에 대한 설명, 개념증명 코드에 대한 주석에서 오역이 있을 수 있습니다.
본 글에서 다루는 방법, 코드가 최근의 내용이 아닐 수 있습니다.
저작권을 지키기 위해 원문 내용을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 글 아래 링크를 참고하시고, 다른 기술 문서를 함께 확인하세요.

CVE-2023-20887

VMWare Remote-Code-Execution Vulnerability

Summaries

VMWare Aria Operations for Networks 에서 원격 코드 실행 취약점이 발견되었다.
취약점은 CVE-2023-20887 이며, 사용자 인증 없이 취약 시스템의 쉘을 획득할 수 있다.
취약점에 대한 분석 문서와 함께 개념 증명 코드가 함께 Github를 통해 공개되었다.

Vulnerability Analysis

CVE-2023-20887 취약점은 VMWare Aria Operations for Networks 시스템 구성요소 중 nginx 환경설정에서 비롯한다.

server {
    location /saasresttosaasservlet {
        allow 127.0.0.1;
        deny all;
        rewrite ^/saas(.*)$ /$1 break;
        proxy_pass http://127.0.0.1:9090;
        중략
    }
    location /saas {
        rewrite ^/saas(.*)$ /$1 break;
        proxy_pass http://127.0.0.1:9090;
        중략
    }
}

nginx 환경설정의 룰에 따라 https://VMHOST/saasresttosaasservlet 에 대한 접근은 127.0.0.1 루프백에서만 접근이 가능하다. 하지만 그 뒤의 룰을 이용해 https://VMHOST/sass./resttosaasservelt 과 같이 URI 경로 조작시, nginx의 rewrite 룰이 적용되며 https://VMHOST/./resttosaasservlet 으로 인식해 해당 URI에 접근이 가능하다.

Advisory from VMWare

VMWare에서는 해당 취약점이 패치된 버젼을 릴리즈 했으므로, 참고하여 업데이트를 적용하면 되겠다.

_[VMWare.com]https://www.vmware.com/security/advisories/VMSA-2023-0012.html

Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外

Posted on 2021-05-04 - 2021-05-04 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

이스라엘에서 N3TW0RM 랜섬웨어에 의한 공격이 진행중이다.
악성코드 Buer의 변종이 프로그래밍 언어 Rust를 사용해 재 작성되었다.

Detailed News List

N3TW0RM 랜섬웨어 공격
- _{[BleepingComputer]}
  N3TW0RM ransomware emerges in wave of cyberattacks in Israel
Rust기반 Buer 변종
- _{[BankInfoSecurity]}
  Buer Dropper Malware Updated Using Rust
- _{[DarkReading]}
  Buer Malware Variant Rewritten in Rust Programming Language
- _[ThreatPost]
  New Buer Malware Downloader Rewritten in E-Z Rust Language

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

다크웹에서 40만 사용자를 보유한 아동 성 학대 물_{(CSAM, Child Sexual Abuse Material)} 웹사이트가 독일 경찰이 이끈 국제 공조 작전에 의해 제거되었다

Detailed News List

다크웹 사이트 차단
- _{[InfoSecurity]}
  Online Child Abuse Platform with 400k Users Taken Down
- _[HackRead]
  Authorities seize world’s biggest dark web child abuse site

Vulnerability Patches/Software Updates

Summaries

애플에서 iOS 제로데이 취약점 두 건을 수정하는 보안 업데이트를 발표했다.
Pulse Secure에서 Pulse Connect Secure_(PCS) SSL VPN의 제로데이 취약점 업데이트를 발표했다.

Detailed News List

Apple iOS 보안 업데이트
- _{[BleepingComputer]}
  Apple fixes 2 iOS zero-day vulnerabilities actively used in attacks
- _[CyberScoop]
  Apple issues security update for WebKit flaws
- _[ZDNet]
  You should update your iPhone and iPad to iOS 14.5.1 right away
Pulse Secure 업데이트
- _{[BankInfoSecurity]}
  Pulse Secure VPN Zero-Day Flaw Patched
- _{[SecurityAffairs]}
  Pulse Secure fixes zero-day in Pulse Connect Secure (PCS) SSL VPN actively exploited
- _{[SecurityWeek]}
  Pulse Secure Ships Belated Fix for VPN Zero-Day
- _{[BleepingComputer]}
  Pulse Secure fixes VPN zero-day used to hack high-value targets

Data Breaches/Info Leakages

Summaries

헬스케어 그룹 Scripps Health가 랜섬웨어 공격을 받았다.
이란의 Raychat 앱에서 1억 5천만건의 사용자 정보가 유출되었다

Detailed News List

Scripps Health 랜섬웨어 공격
- _{[BleepingComputer]}
  Health care giant Scripps Health hit by ransomware attack
- _[Threatpost]
  Scripps Health Cyberattack Causes Widespread Hospital Outages
- _{[BankInfoSecurity]}
  Security Incident Leads Scripps Health to Postpone Care
Raychat App 사용자 정보 유출
- _[HackRead]
  Hacker leaks 150 million user records from Iranian Raychat app

Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外

Posted on 2018-04-03 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

지난 월요일 미 국방부^{(Department of Defense)}가 국방 여행 시스템^{(Defense Travel System)}을 포함하도록 버그바운티 프로그램을 확대한다고 발표했다. “Hack the DTS”프로그램은 버그바운티 기업인 HackerOne과 제휴하여 시작되었다.

Detailed News List

DoD Bug Bounty Program
- _[CyberScoop]
  The Pentagon’s latest bug bounty target is its travel booking system
- _[ThreatPost]
  U.S. DoD Hopes To Stamp Out Threats With Bug Bounty Program
- _{[DarkReading]}
  ‘Hack the Defense Travel System’: DoD Extends its Bug Bounty Program
- _{[InfoSecurityMagazine]}
  Pentagon Kicks Off Latest Bug Bounty Challenge

Data Breaches/Info Leakages

Summaries

Saks Fifth Avenue와 Lord & Taylor 고객의 5백만 카드 데이터가 도난당해 다크웹에서 판매되는 사건이 일어났다. 데이터 침해는 Gemini Advisory라는 위협분석 및 다크웹 연구 기업에 의해 확인되었다. 발표에 따르면, 이 침해사고 배후의 해커는 정교한 피싱 사기를 벌이는 것으로 알려진 JokerStash 혹은 Fin7으로도 알려진 그룹 소속이다. 다크웹에서 판매되고 있는 데이터를 확인한 연구원들에 따르면, 이 데이터에는 2017년 5월부터 현재까지의 지불 카드 데이터가 포함되어 있다. Fin7 해커들은 이를 BIGBADABOOM으로 부르며 판매하고 있다.

Detailed News List

Saks, Lord & Taylor
- _{[InfoSecurityMagazine]}
  Saks, Lord & Taylor Payment Card Breach Affects 5 Million
- _{[TheRegister]}
  Hacks Fifth Avenue: Crooks slurp bank cards from luxury chain Saks
- _[CSOOnline]
  Saks, Lord & Taylor hacked; 5 million payment cards compromised
- _[HackRead]
  Lord & Taylor & Saks customers payment cards stolen, sold on Dark Web
- _{[SecurityWeek]}
  Saks, Lord & Taylor Stores Hit by Data Breach
- _[ThreatPost]
  Credit Card Data Swiped From 5M Saks, Lord & Taylor Customers
- _[CSOOnline]
  Saks, Lord & Taylor hacked; 5 million payment cards compromised
- _{[BankInfoSecurity]}
  Saks, Lord & Taylor Suffer Payment Card Data Breach
- _[TripWire]
  Saks Fifth Avenue, Lord & Taylor Suffer Payment Card Data Breach
- _[NYTimes]
  Card Data Stolen From 5 Million Saks and Lord & Taylor Customers

Technologies/Technical Documents/Statistics/Reports

Summaries

클라우드플레어^(Cloudflare)에서 DNS 서비스를 시작했다. 클라우드 플레어의 엔지니어링 디렉터 Olafur Gudmundsson는 이들이 제공하는 1.1.1.1 DNS 서비스는 이미 전세계에 걸쳐 데이터센터를 구축하고 있기 때문에 여타 다른 서비스들 보다 더 빠른 속도로 서비스를 제공할 수 있을 것이라 말했다. 클라우드플레어의 공개^(public) DNS 서비스는 오픈소스 Knot Resolver를 사용한다.

Detailed News List

Cloudflare DNS
- _[ZDNet]
  How to use Cloudflare’s DNS service to speed up your internet and protect your privacy
- _[ThreatPost]
  Cloudflare Launches Publicly DNS-Over-HTTPS Service
- _{[TheHackerNews]}
  How to Make Your Internet Faster with Privacy-Focused 1.1.1.1 DNS Service
- _{[SecurityWeek]}
  Cloudflare Launches Free Secure DNS Service
- _[Forbes]
  Speed Up Your Internet And Boost Your Privacy With This Simple Change

Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外

Posted on 2018-03-31 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

미국 비자 신청자에게 지난 5년간 사용했던 소셜미디어 계정 정보를 요청하려는 국무부의 계획이 뉴스로 알려졌다. 지난 금요일 국무부는 연방관보^{(Federal Register)}에 공개 의견 요청서^{(request for public comment)}를 발표했다. 의견 수렴은 2018년 5월 29일까지다. 공지문에서는 국무부가 이민 비자^{(Immigrant Visa)} 및 외국인 등록^{(Alien Registration)}을 위한 전자 신청서^{(Electronic Application)}에 질문을 추가해 수집하는 정보를 확대하고자 한다고 설명했다. 변경되는 온라인 양식에는 주요 소셜미디어 플랫폼들의 목록이 제시될 것이며, 신청자가 신청일로부터 과거 5년전 까지 이 소셜미디어 플랫폼들에서 사용한 식별자(아이디)를 제공할 것을 요구한다.
링크드인, 드롭박스, 폼스프링으로부터의 데이터 절도 혐의를 받고 있으며, 체코에서 미국으로 추방된 러시아 해커가 샌프란시스코 미 법원에서 무죄를 주장했다. 29세의 Yevgeniy Nikulin에 대해서 미국과 러시아는 체코 공화국에 오랜 기간에 걸쳐 로비와 함께 자국으로의 송환을 요청하며 긴 싸움을 이어왔다. Nikulin은 2016년 체포되어 기소되었다.
10억달러 가량의 ATM 해킹 범죄의 배후가 스페인에서 체포되었다. 벨라루스, 루마니아, 대만, 스페인 경찰, FBI, 유로폴의 합동작전으로 전 세계 수백개의 금융기관 및 은행을 상대로한 ATM 해킹의 배후가 체포되었다. 아직 실명이 확인되지 않은 이 ATM 해커는 은행 인프라를 Carbanak, Cobalt, Anunak 악성코드로 감염시켜 수십억 유로를 훔친 매우 치밀한 사이버 범죄그룹의 우두머리다. 이 그룹은 Carbanak이 40여개 국가의 금융 기관들을 목표로 하는 APT 스타일의 캠페인임을 지적한 카스퍼스키랩에 의해 2013년에 확인되었다. 이 그룹은 직원들을 대상으로 한 피싱공격으로 은행들을 공격했다. 일단 컴퓨터가 악성코드에 감염되면, 원격으로 시스템을 장악해 현금을 인출헀다. 유로폴 보도자료에 따르면, 이 그룹은 세가지 다른 방식으로 표적 은행으로부터 돈을 훔쳤다. 첫번째로는 미리 지정해둔 시간에 ATM에서 대기하다 물리적으로 돈을 인출했고, 전자지불 네트워크를 를 이용해 자신들 소유의 은행계좌로 훔친 돈을 이체했다. 또한 계좌정보가 담긴 데이터베이스를 장악해 잔고 조작을 통해 돈을 훔치기도 했다. (27일에서 이어짐)

Detailed News List

Any Social Media Accounts to declare?
- _{[TheRegister]}
  Any social media accounts to declare? US wants to travelers to tell
Extradited Russian
- _[CyberScoop]
  Extradited Russian pleads not guilty to massive LinkedIn breach
- _{[SecurityWeek]}
  Prague Extradites Russian Hacker to US for Alleged Cyberattacks
- _[NYTimes]
  Russian Accused of Hacking U.S. Technology Firms Is Extradited
20 Arrested in Italy and Romania
- _{[BankInfoSecurity]}
  Police Bust 20 Phishing Suspects in Italy, Romania
- _{[SecurityAffairs]}
  European police agencies coordinated by Europol arrested 20 people for Spear Phishing scam
- _{[SecurityWeek]}
  20 Arrested in Italy and Romania for Spear Phishing Scam

Vulnerability Patches/Software Updates

Summaries

마이크로소프트에서 이전에 릴리즈한 Meltdown 패치에 대한 패치를 릴리즈했다. 앞서 공개했던 패치에 의해 오히려 취약점이 발생한다는 뉴스가 있었고, 마이크로소프트는 이에따라 긴급 패치를 발표했다.

Detailed News List

Microsoft
- _{[DarkReading]}
  Microsoft Rushes Out Fix for Major Hole Caused by Previous Meltdown Patch
- _[ThreatPost]
  Microsoft Fixes Bad Patch That Left Windows 7, Server 2008 Open to Attack
- _[HackRead]
  Flawed Meltdown patch by Microsoft makes Windows more vulnerable
- _{[SecurityWeek]}
  Microsoft Fixes Windows Flaw Introduced by Meltdown Patches
- _[US-CERT]
  Microsoft Release Patch for Windows 7 and Windows Server 2008 R2 Systems
- _{[TheRegister]}
  Microsoft patches patch for Meltdown bug patch: Windows 7, Server 2008 rushed an emergency fix

Data Breaches/Info Leakages

Summaries

언더아머사에서 MyFitnessPal 사용자 1억 5천만명의 계정이 해킹당했다고 발표했다. 언더아머에서 목요일 MyFitnessPal 앱이 해킹당했다고 발표했다. 언더아머에 따르면, 웹사이트 및 앱 사용자 1억 5천만명의 계정이 이번주 초 침해당했다. 언더아머는 신용카드 정보는 영향을 받지 않았다고 밝혔다. (30일에서 이어짐)

Detailed News List

Under Armour, MyFitnessPal
- _[McAfee]
  Over 150 Million MyFitnessPal Accounts Impacted by Massive Data Breach
- _{[InfoSecurityMagazine]}
  Under Armour’s MyFitnessPal Sees 150 Million Accounts Compromised
- _{[BankInfoSecurity]}
  Under Armour Reports Massive Breach of MyFitnessPal App
- _[Forbes]
  Security Experts Weigh In On Massive Data Breach Of 150 Million MyFitnessPal Accounts
- _{[DarkReading]}
  Under Armour App Breach Exposes 150 Million Records
- _{[TheSecurityLedger]}
  Fitness Hacker: Under Armour breach affects 150m
- _[ThreatPost]
  Under Armour Reports Massive Breach of 150 Million MyFitnessPal Accounts
- _[CyberScoop]
  Under Armour suffers breach affecting 150 million fitness app users
- _[HackRead]
  Under Armour says hackers stole 150 million MyFitnessPal user accounts
- _{[NakedSecurity]}
  150 million MyFitnessPal accounts compromised – here’s what to do
- _[TripWire]
  Under Armour Notifies 150M MyFitnessPal Users of Data Breach
- _{[InformationSecurityBuzz]}
  150 Million Affected By Under Armour Data Breach
- _{[SecurityAffairs]}
  Under Armour data breach affected about 150 million MyFitnessPal users
- _{[SecurityWeek]}
  Under Armour Says 150 Million Affected in Data Breach