Security Newsletters, 2017 Dec 28th, PS4 커널 익스플로잇 공개 外

Posted on 2017-12-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

플레이스테이션^{(PlayStation)}4 펌웨어 버젼 4.05의 커널 익스플로잇^{(kernel exploit)}이 공개되었다. 플레이스테이션4용 탈옥^(Jailbreak) 프로그램이 조만간 공개될 것으로 보인다. SpecterDev가 마침내 완전히 동작하는 PlayStation 4 firmware 4.05의 커널 익스플로잇을 공개했다. Team FailOverflow가 정보를 공개한 뒤 거의 두달 만이다. GitHub에 공개되어 있다.
안드로이드 앱의 서명정보 검사를 우회할 수 있는 취약점인 야누스^(Janus)에 대해 기사가 공개된 바 있다. 트렌드 마이크로에서 해당 취약점에 대한 분석기사가 나왔다. (12월 9일에서 이어짐)
- 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스^(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 ^{CVE-2017-13156} 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.

Detailed News List

PS4 Kernel Exploit
- _{[TheHackerNews]}
  Kernel Exploit for Sony PS4 Firmware 4.05 Released, Jailbreak Coming Soon
- _[GitHub]
  PS4 4.05 Kernel Exploit
Janus Android App Signature Bypass
- _[TrendMicro]
  Janus Android App Signature Bypass Allows Attackers to Modify Legitimate Apps

Vulnerability Patches/Software Updates

Summaries

모질라^(Mozilla)에서 썬더버드^{(Thunderbird)} 메일 클라이언트의 보안 업데이트를 공개했다. 패치는 12월 릴리즈의 일부로, 두개의 높음^(high) 등급의 버그와, 중간^(moderate) 단계 버그 하나, 그리고 낮음^(low) 등급의 버그 두개를 수정해 총 다섯개의 버그를 수정했다. 가장 심각한 취약점은 버퍼오버플로우 버그로 ^{CVE-2017-7845}다. 이 버그는 윈도우즈 운영체제에서 실행되는 썬더버드에 영향을 미친다. (27일에서 이어짐)

Detailed News List

Mozilla
- _{[SecurityAffairs]}
  Mozilla patches five issues in Thunderbird, including a critical flaw

Cyber Intelligence/Open Source Intelligence

Summaries

FBI에서 사용하는 신체측정^(biometric)정보 데이터베이스 소프트웨어에 러시아에서 만들어진 코드가 존재한다는 기사가 공개되었다. BuzzFeed에 따르면, Morpho라는 프랑스 회사가 신체 측정^(biometric) 소프트웨어를 FBI에 판매하면서, 러시아 기업인 Papillon AO라는 러시아 회사가 개발한 소프트웨어를 코드에 사용했다는 것을 알리지 않았음이 확인되었다.
GOSINT 라는 오픈소스 위협 첩보 수집 및 처리 프레임워크가 공개되었다. GOSINT는 침해지표^{(IOCs, indicators of compromise)}의 수집^(collecting), 처리^(processing), 출력^(exporting)등을 할 수 있는 프로젝트다.

Detailed News List

Russian code in FBI’s
- _[HackRead]
  Software used in FBI’s biometric database contains Russian code: Report
GOSINT
- _{[HackersOnlineClub]}
  GOSINT – Open Source Threat Intelligence Gathering and Processing Framework

Privacy

Summaries

12월 22일 NSA의 내부고발자인 에드워드 스노든과 팀의 합작품인 새로운 안드로이드 앱인 헤븐^(Haven)이 발표되었다. 이 앱은 언론인 등 온라인 감시 및 해킹에 특히 민감한 사람들을 위한 앱이다. Haven은 노트북과 스마트폰을 작은 보안 시스템으로 만들어준다. 헤븐은 스마트폰 내장 센서를 사용해 환경^{(environment)}의 갑작스런 변화를 추적하는 용도로 만들어졌다. 노트북을 호텔 금고에 놓고 스마트폰을 그 위에 놓으면, 누군가 허락없이 노트북을 열려 했을때 Haven 앱이 불빛의 변화를 탐지하고, 노트북이 움직였을 때는 내장된 카메라로 공격자의 스크린샷을 촬영하는 식이다. (24일에서 이어짐)

Detailed News List

Snowden App Haven
- _{[EHackingNews]}
  Edward Snowden launches Spy App

Data Breaches/Info Leakages

Summaries

캐나다의 학자금 대출 정보 침해사건^{(Student Load Privacy Breach)}에 대해, 1,750만 달러의 합의금이 제시되었다. 제시된 합의문에서 캐나다는 침해사고로 영향을 받은 학자금 대출자에게 $60를 지불할 예정이다.
2015년 11월, RootsWeb이라는 이름으로도 알려진 Ancestry가 데이터 침해 사고를 당했다. 이 데이터 침해 사고는 2017년까지 탐지되지 않았다가, 30만개의 이메일 주소 및 평문 비밀번호^{(plain text passwords)}가 담긴 파일이 발견되면서 알려졌다. 침해당한 정보는 이메일 주소와 비밀번호다. (24일에서 이어짐)
닛산 캐나다 파이낸스^{(Nissan Canada Finance)}가 목요일에 113만명의 데이터 침해에 대해 고지했다. 이 침해사고는 2017년 12월 11일에 발생했으며, 신원이 확인되지 않은 제3자가 사용자들의 이름, 주소, 차량 모델, 차량번호, 신용점수, 대출량, 월 지불금액 정보에 접근했다. 고객들은 목요일에 이 침해사고에 대하여 이메일을 받았으며, 닛산 캐나다 파이낸스는 침해사고에 대한 추가정보를 공개했다. (23일에서 이어짐)

Detailed News List

Canada Student Load Privacy Breach
- _[TripWire]
  Canada Proposes $17.5M Settlement for Student Loan Privacy Breach
Ancestry
- _[ThreatPost]
  Leaky RootsWeb Server Exposes Some Ancestry.com User Data
- _[HackRead]
  Ancestry.com’ RootsWeb breach: 300,000 plaintext accounts leaked
Nissan Canada Finance
- _{[DarkReading]}
  Nissan Canada Finance Alerts 1.13 Million Customers of Data Breach

Internet of Things

Summaries

미라이^(Mirai) 봇넷 변종인 사토리^(Satori)가 화웨이 라우터를 공격 대상으로 삼아 퍼지는 중이다. 사토리는 악명높은 미라이 봇넷의 업데이트 된 변종으로, 화웨이 HG532 장치의 포트 37215를 노린다. 이러한 공격이 미국, 이탈리아, 독일, 이집트 등 전세계에서 관찰되었다. 공격은 화웨이 라우터의 제로데이 취약점인 ^{CVE-2017-17215}를 공격한다. (23일에서 이어짐)

Detailed News List

Satori targets Huawei Router 0-Day
- _{[DarkReading]}
  Hacker Targeted Huawei Router 0-Day in Attempt to Create New Mirai Botnet

Crypto Currencies/Crypto Mining

Summaries

이스라엘 은행이 디지털화폐를 고려하고 있다는 기사가 나왔다. 로이터^(Reuters)가 언급한 은행 내부 정보에 따르면, 이스라엘 은행이 디지털 화폐를 지불 속도를 향상시키고^{(to speed up payments)} 현금을 줄이는데^{(reduce cash across the economy)} 활용하는 방안을 고려중이다. 아직 결정이 내려진 것은 아니지만, 이스라엘 정부가 디지털 화폐에 대한 규제를 통과시키려는 준비와 2019년 예산안에 포함시키려는 준비를 하고 있다.
유명 암호화폐 거래소인 이더델타^(EtherDelta)가 DNS 공격에 대한 가능성을 공개하며 운영을 잠시 중단했다. 지난주 EtherDelta는 서비스를 잠시 중단했는데, 회사의 DNS 서버에 누군가 일시적인 접근 권한을 얻은 것으로 추정하면서다. 12월 20일에 EtherDelta는 서버가 공격자들에 의해 침해당했음을 공지했다.(27일에서 이어짐)

Detailed News List

Israeli Bank
- _[ZDNet]
  Israeli bank considering digital currency: Report
EtherDelta
- _{[SecurityAffairs]}
  The popular cryptocurrency exchange EtherDelta suffered a DNS attack

Technologies/Technical Documents/Statistics/Reports

Summaries

가장 최악의 비밀번호에 대한 통계 자료가 계속적으로 발표되고 있다. 올해 유출된 개인정보들에서, 가장 빈번하게 등장한 최악의 비밀번호는 부동의 “123456”이다.

Detailed News List

Worst Password of 2017
- _{[SecurityAffairs]}
  For the second year in a row, “123456” was the top password found in data dumps in 2017
- _{[GrahamCluley]}
  The worst passwords of the year revealed
- _{[WeLiveSecurity]}
  The worst passwords of the year revealed

Security Newsletters, 2017 Nov 30th, UBoatRAT 外

Posted on 2017-11-30 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

UBoatRAT라는 이름의 원격 제어 트로이가 대한민국 비디오 게임 산업의 기관 및 개인을 대상으로 유포되고있다. UBoatRAT은 구글 드라이브 링크를 통해 배포되고 있다. 이 악성코드는 C&C 서버 주소를 GitHub에서 얻고, 마이크로소프트 윈도우즈의 BITS^{(Background Intelligent Transfer Service)}를 사용한다. 이 악성코드는 2017년 5월에 최초 발견되었을 당시에는 홍콩의 공개 블로그 서비스와 일본의 침해 웹서버를 C&C용도로 사용하는 간단한 HTTP 백도어였다. 그때부터 개발자가 다양한 기능을 추가하고 여름을 거치면서 업데이트된 버젼을 릴리즈했다. 아직 정확한 공격 대상은 불분명하지만, 팔로알토 네트웍스^{(Palo Alto Networks)}는 대한민국이나 비디오게임 산업과 관련된 것으로 보고있다. 한글 게임 제목과 한국기반의 게임 회사 이름, 비디오게임 산업에서 사용되는 단어들이 확인되었기 때문이다.
무료 오픈소스 전자 의료기록 관리 소프트웨어 OpenEMR^{(open-EMR.org)}에 존재하는 취약점으로 환자의 의료기록 및 개인식별 가능 정보가 유출 될 수 있는 것으로 드러났다. OpenEMR은 전세계에서 사용되며, 2012년 예상으로는 미국내 설치 건수가 5천건이 넘고 전세계적으로는 15,000건이 넘는다. 취약점은 이전에 OpenEMR에서 발견된 취약점을 리뷰하는 과정에서 발견되었고, 개발자에게 공개되었다. 버그픽스는 11월 초 OpenEMR v5.0.0의 여섯번째 패치에 포함되어 발표되었다.

Detailed News List

UBoatRAT
- _{[SecurityWeek]}
  New Custom RAT Hits Targets in East Asia
- _{[PaloAltoNetworks]}
  UBoatRAT Navigates East Asia
OpenEMR
- _{[HelpNetSecurity]}
  OpenEMR flaw leaves millions of medical records exposed to attackers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

삼성전자가 버그크라우드^(Bugcrowd)와 협력해 모바일 보안 보상 프로그램의 적시 지불을 진행한다. 삼성전자가 수요일에 발표한 내용에 따르면, 이제 두달 된 삼성전자의 버그바운티 프로그램에서 보상 지불과정을 버그크라우드가 진행하도록 하여 가속화 한다. 삼성전자의 모바일 보안 보상 프로그램에서 보안 연구가는 취약점의 심각도 등에 따라 취약점당 20만 달러까지 보상을 받을 수 있다.
해커 Lauri Love의 미국으로의 범죄인 인도^{(extradition)}에 대한 재판이 런던의 Royal Courts of Justice에서 시작된다. 미 검사들은 33세의 Love를 ‘민간 기업 및 미국 정부 기관의 웹사이트와 컴퓨터 시스템에 대한 다수의 사이버 공격’ 혐의로 고소했다. Love는 SQL Injection과 Adobe ColdFusion의 취약점 악용, 추후 공격을 위해 서버에 백도어를 심은 혐의를 받고 있다. Love는 미국에서 재판을 받게되면 최대 99년형에 처해질 것으로 보인다.

Detailed News List

Samsung Mobile
- _{[DarkReading]}
  Samsung’s Mobile Device Bug Bounty Program Gets a Boost
- _{[SecurityWeek]}
  Samsung Adopts Bugcrowd to Manage Mobile Security Rewards Program
Lauri Love’s Extradition
- _{[TheRegister]}
  Accused hacker Lauri Love’s extradition appeal begins

Vulnerability Patches/Software Updates

Summaries

애플이 비밀번호 없이도 root 권한을 얻을 수 있는 macOS High Sierra의 버그에 대한 패치를 급히 공개했다.

Detailed News List

Apple MacOS High Sierra
- _{[TheRegister]}
  As Apple fixes macOS root password hole, here’s what went wrong
- _[ZDNet]
  Apple fixes macOS password flaw
- _[ThreatPost]
  Apple Announces Emergency Patch to Fix High Sierra Login Bug
- _{[NakedSecurity]}
  Apple closes that big root hole – “Install this update as soon as possible”
- _{[Graham Cluley]}
  Apple fixes root password bug: ‘Install this update as soon as possible’
- _{[SecurityWeek]}
  Apple Patches Critical Root Access Flaw in macOS

Cyber Intelligence/Open Source Intelligence

Summaries

Fancy Bear 혹은 APT28, Sofacy, Iron Twilight, Pawn Storm으로 알려진 러시아와 연관된 악명높은 해커그룹의 흔적이 영국에서 발견되었다. 해커들이 영국에 등록된 회사에서 서버를 구매해 사용하면서 몇몇 흔적을 남긴 것을 BBC가 찾아냈다. 해커들은 이 컴퓨터를 사용해 독일 의회를 공격했으며, 나이지리아 정부 웹사이트의 트래픽을 하이재킹하고 애플 장치들을 공격 대상으로 삼았다. Crookservers는 잠시 Oldham에 위치한 적이 있었다. BBC에 의해 확인된 Crookservers의 기술 및 재무 정보에 따르면 Fancy Bear는 중요 자금에 접근할 수 있었고, 온라인 금융 서비스를 받았으며, 일부는 자금세탁 방지 작전에 의해 일부 폐쇄되었다. 3년 넘게 Fancy Bear는 컴퓨터들을 Crookservers를 통해 임대했고, 가짜 신분과 가상 사설 네트워크와 추적하기 힘든 지불 시스템으로 그 흔적을 지워왔다.

Detailed News List

Fancy Bear
- _{[EHackingNews]}
  Fancy Bear hackers’ UK link revealed

Privacy

Summaries

컨퍼런스 콜의 현저한 보안 헛점을 드러내는 조사결과가 공개됐다. 루프업^(LoopUp)이 1,000명의 비즈니스 전문가를 대상으로 조사한 결과에 따르면, 70%의 대상자가 컨퍼런스 콜에서 기밀정보를 의논하는게 일반적이라 답했으며, 절반 이상은 누가 해당 회의에 들어와 있는지 알지 못하는게 일반적이라고 인정했다. 이는 종종 전형적인 접화접속 회의의 불완전성 때문인 것으로 루프업은 지적했다. 누가 회의에 들어와 있는지에 대한 가시성이 부족하며, 원치않는 손님을 내보낼 수 있는 제어력이 부족한 것이다. 더 나아가 66%는 1년 이상 전화접속 회의에 같은 비밀번호를 쓰는 것으로 드러났다.

Detailed News List

Conference Calls
- _{[InfoSecurityMagazine]}
  Conference Calls a ‘Significant & Overlooked’ Security Gap in the Enterprise

Data Breaches/Info Leakages

Summaries

영국의 물류운송기업 클락슨^(Clarksons)이 사이버 보안 사고의 피해를 입었을 수 있다면서 정보를 도난당했을 수 있다고 경고했다. 클락슨은 기밀정보가 도난당했으며, 해커들이 요구한 금액을 지불하지 않기로 결정하면서 정보가 공개될 수 있다고 경고했다. 전세계 21개 국가에 49개의 사무실을 가지고 있는 클락슨은 어떤 정보가 잠재적으로 해커에의해 도난당했을 수 있는지, 언제 사고가 일어났는지, 언제 발견되었는지 아직 공개하지 않았다.

Detailed News List

Clarksons
- _[TripWire]
  U.K. Shipping Company Clarksons Hit by Cyberattack, Refuses to Pay Ransom
- _[ZDNet]
  Shipping firm warns that hackers may leak confidential information
- _{[SecurityWeek]}
  Hackers Target U.K. Shipping Giant Clarkson
- _{[TheRegister]}
  Hacked Brit shipping giant Clarksons: A person may release some of our data today

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

최근 패치된 Dnsmasq가 아직도 지멘스^(Siemens)사의 산업용 장비들에 영향을 미치는 것으로 나타났다. 지멘스는 보안 경고문을 공개했는데, Dnsmasq 취약점 7개중 4개가 자사의 SCALANCE 제품에 영향을 미친다고 밝혔다. 10월에 구글 보안연구가는 Dnsmasq 소프트웨어 패키지에서 7개의 서로다른 취약점을 발견했다. Dnsmasq는 다양한 곳에서 많이 사용되는데, 지멘스도 SCALANCE 제품들과 W1750D 컨트롤러기반 direct access points, M800 산업용 라우터, S615 방화벽이 영향을 받는다고 밝혔다. 세 취약점 ^{(CVE-2017-13704, CVE-2017-14495, CVE-2017-14496)}은 조작된 요청을 UDP 포트 53번으로 보내 Dnsmasq 프로세스를 중단시킬 수 있다. SCALANCE 제품군은 ^{CVE-2017-14491}에도 영향을 받는다. 이 취약점은 공격자에 의해 서비스거부 상태에 빠지거나 임의의 코드를 취약한 장치에서 실행할 수 있다.

Detailed News List

Dnsmasq still affect Siemens
- _{[SecurityAffairs]}
  Recently Patched Dnsmasq still affect Siemens Industrial devices
- _{[SecurityWeek]}
  Recently Patched Dnsmasq Flaws Affect Siemens Industrial Devices

Security Newsletters, Nov 18th, 2017

Posted on 2017-11-18 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

악명높은 제우스^(ZeuS) 뱅킹 트로이에 기반한 정교한 악성코드 Terdot에 페이스북, 트위터, 지메일 계정을 훔치는 기능이 추가된 것이 확인되었다. Terdot 뱅킹 트로이는 2016년 중순 이후로 활동해온 악성코드로, 초기에는 프록시^(Proxy)로 기능하도록 설계되어 중간자공격^{(MitM, Man-in-the-Middle)}을 수행하면서 방문하는 웹 페이지에 HTML 코드를 주사^(injecting)해 신용카드 정보나 로그인 인증정보를 훔쳤다. 그러나 비트디펜더^{(Bitdefender)}의 연구자들은 이 뱅킹 트로이에 가짜 SSL 인증서를 사용해 소셜 미디어 및 이메일 계정에 대한 접근권한을 얻기 위한 기능과 감염된 사용자 대신에 글을 올리는 기능까지 새로운 사이버 스파이^{(cyber espionage)} 기능을 탑재한 것을 확인했다.
인터넷에 공개되어 있는 중소기업의 RDP를 통해 SMB를 노리는 랜섬웨어 공격이 확인되었다. 많은 비즈니스 네트워크에 문제가 되는 취약한 비밀번호를 노리는 공격이다. 인터넷에 노출되어 있는 RDP 포트를 탐지하는 것은 어렵지 않다. 사이버 범죄자들은 쇼단^(Shodan)과 같은 특화된 검색엔진 등을 활용해 RDP가 열린 시스템을 찾아내고 해당 시스템에 대해서 공개된 툴이나 별도의 툴을 사용해 공격한다.

Detailed News List

Terdot banking trojan
- ^{[TheHackerNews]} Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts
- ^{[SecurityWeek]} Terdot Banking Trojan Could Act as Cyber-Espionage Tool
- ^{[DarkReading]} Terdot Banking Trojan Spies on Email, Social Media
Ransomware via RDP
- ^{[SecurityWeek]} Ransomware Targets SMBs via RDP Attacks
- ^{[DarkReading]} Crooks Turn to Delivering Ransomware via RDP

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

마이크로소프트^(Microsoft)가 소유한 스카이프^(Skype)가 도청^{(Eavesdropping)}을 거부한 결과 벨기에 법원에서 약 $35,000^(€30,000)에 달하는 벌금형을 받을 것으로 보인다. 마이크로소프트는 1) 기술적으로 불가능하며 2) 법률이 통신사업자 대상이므로 적용되어선 안된다고 말했다. 스카이프는 수요일에 벨기에 법원에서 패소했다. 독일 뉴스에 따르면, 이 문제는 2012년 시작되었다. 벨기에 정부가 Skype에서 이루어진 조직범죄자들의 대화를 도청하길 요구하면서 부터다. 검찰에 따르면 스카이프는 요청에 일부에 대해서만 응했는데, 이메일, 사용자 기록, 계정정보, 아이피 주소와 같은 메타데이터만 제공한 것이다. 그러나 대화 내용에 대해서는 스카이프는 엿듣는 것이 기술적으로 불가능한 일이라고 말했다.

Detailed News List

Skype
- ^{[NakedSecurity]} Skype faces fine after refusing to allow eavesdropping

Patches/Updates

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.
오라클^(Oracle)이 PeopleSoft 앱 서버의 심각한 취약점 수정을 위한 5개 패치를 릴리즈했다. 5개 취약점은 JoltandBleed라 명명된 취약점을 포함한다. 이 취약점은 2014년에 OpenSSL에서 발견된 HeartBleed와의 유사성 때문에 이런 이름이 붙었다. JoltandBleed 취약점은 PeopleSoft 플랫폼에서 구동되는 전체 어플리케이션을 인터넷을 통해 노출시킬 수 있는 심각한 취약점이다. JoltandBleed는 오라클의 Tuxedo 2 어플리케이션 서버에서 사용된, Jolt 프로토콜에 존재하는 메모리 유출 취약점이다. 조작된 네트워크 패킷을 Jolt 서비스가 제어하는 HTTP 포트로 전송하면 앱 서버의 메모리에서 세션 정보, 사용자 이름, 비밀번호 등을 평문으로 추출할 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks
Oracle JoltandBleed
- ^{[ARSTechnica]} Oracle rushes out 5 patches for huge vulnerabilities in PeopleSoft app server
- ^[Oracle] Oracle Security Alert Advisory – CVE-2017-10269

Cyber Intelligence

Summaries

IBM Threat Intelligence에서 쿼드나인^(Quad9)이라 불리는 새로운 무료 DNS^{(Domain Name System)} 서비스를 시작했다. 이 DNS 서비스는 악성으로 분류된 웹사이트에 대한 접근을 자동으로 제한하는 자동화된 면역시스템을 제공한다. 쿼드나인이라 불리는 이유는 DNS 서버 주소가 9.9.9.9 이기 때문이다. 새로운 이 서비스는 IBM Security, Packet Clearing House^(PCH), The Global Cyber Alliance^(GCA)에 의해 런칭되었다. 이 서비스는 사용자의 DNS 질의를 보안네트워크를 통해 전달하고, 웹사이트의 인정성 여부를 판단하기 위해 실시간으로 다수의 사이버보안 기업들의 위협 정보^{(threat intelligence)}를 사용한다. 사용자의 브라우저는 시스템이 감염된 것으로 탐지되면 자동으로 웹사이트 접근을 차단한다.
소스코드 호스팅 서비스인 GitHub이 취약한 라이브러리 사용에 대해 개발자들에게 알려주는 서비스를 시작했다. GitHub는 최근 의존성 그래프^{(Dependency Graph)}라는 기능을 인사이트^(Insight) 섹션에 도입했다. 이 기능은 프로젝트가 사용하는 라이브러리 목록을 보여준다. 이 기능은 현재 자바스크립트와 루비를 지원하는데, 내년에는 파이썬까지 추가로 지원할 계획이다. GitHub이 추가한 이 새로운 보안기능은 프로젝트 의존성에 알려진 취약점이 있을 때, 개발자들에게 경고하는 것을 목표로 설계된 기능이다. 의존성 그래프와 보안 알림 기능은 공개 리포지토리^(repository)에 대해서는 자동적으로 활성화 된다. 그러나 비밀 리포지토리에 대해서는 선택적 활성화^(Opt-in) 대상이다.

Detailed News List

Quad9 DNS service
- ^{[SecurityWeek]} Group Launches Secure DNS Service Powered by IBM Threat Intelligence
- ^{[DarkReading]} IBM, Nonprofits Team Up in New Free DNS Service
GitHub Dependency Graph
- ^{[SecurityWeek]} GitHub Warns Developers When Using Vulnerable Libraries

Privacy

Summaries

원플러스^(OnePlus) 스마트폰이 루팅 없이도 루트권한을 사용할 수 있게 해주는 어플리케이션^{(EngineerMode)}이 설치되어 있었던 사건 이후, 사용자의 정보를 수집하는 앱인 OnePlusLogKit 까지 사전설치^{(pre-installed)}되어있어 또 한번 이슈가 되고있다. 이번 발견도 EngineerMode 어플리케이션을 찾아냈던 Elliot Anderson 트위터 사용자에 의해 공개되었고, 이 어플리케이션은 시스템 권한^(Privileges)으로 실행되며 사용자의 GPS 기록, WIFI 데이터, 블루투스, NFC, 사진, 동영상, 실행 프로세스 목록 등에 접근한다.

Detailed News List

OnePlus
- ^[HackRead] Another preinstalled app found on OnePlus that could collect user data
- ^{[TheHackerNews]} Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs

Data Breaches/Info Leakages

Summaries

호주 ABC 방송국이 최소 두개의 S3 리포지토리에서 민감 정보를 유출시키는 사고가 일어났다. 11월 16일에 알려진 이 사고는 기술팀이 즉각 대응해서 문제를 해결했다고 밝혔다. 크롬테크^(Kromtech)에 따르면 노출된 데이터는 외부로 나와서는 안될 제작 서비스 및 파일들이었다. 노출된 파일에는 수천통의 이메일, ABC Commercial 사용자가 컨텐츠에 접근하기 위한 로그인 및 비밀번호 정보, 전세계 미디어 제작자들로 부터의 라이센싱한 컨텐츠 요청들, 다른 저장소들의 비밀 접근 키 및 로그인 상세정보, 비디오 컨텐츠, 2015년 부터 지금까지 1,800개의 MySQL 일일 백업 등 이었다.
카스퍼스키랩^{(Kaspersky Lab)}이 NSA 사고에 대하여 상세한 정보를 공개하고 있다. 문제가 된 PC가 다른 APT 공격에서도 공격 대상이 되었다. 카스퍼스키는 2015년 러시아 첩보기관이 NSA의 사이버 무기를 카스퍼스키 안티바이러스를 사용하는 직원중 한명의 PC에서 훔쳐냈다는 주장에서 직접적인 관련성에 대해 계속 부인해왔다. 문제가 되는 PC는 NSA 직원이 마이크로소프트 오피스^{(Microsoft Office)} 불법 복제본을 사용하는 과정에서, 오피스의 키 생성기^{(Key generator)}에 숨겨진 백도어^(backdoor)가 설치되면서 해킹 당한 것으로 알려졌다.
세계 최대의 드론 제조사중 하나인 중국의 DJI와 보안연구가 사이의 버그바운티^{(Bug bounty)} 프로그램에 대한 언쟁이 기사화 되었다. DJI는 8월말 버그바운티 프로그램을 실행함을 알리며 백도어를 만들거나, 민감한 고객정보, 소스코드, 암호화 키를 노출시키는 취약점에 대해 $100에서 부터 $30,000까지 현상금을 지불하겠다고 공지했다. Kevin Finsisterre 보안 연구가는 DJI가 SSL 키와 AES 암호화 키를 GitHub의 소스코드에 공개해 놓은 것을 확인했고, 거기에는 여권, 면허증 정보등이 포함되어 있었다. 이 내용을 DJI에 알린 후에 Kevin은 최고액인 $30,000에 해당한다는 연락을 받았다. 그러나, DJI는 버그바운티 보상금을 받기 위해서는 사전에 동의서에 서명을 했었어야 한다고 말했다.

Detailed News List

Australian Broadcasting Corporation (ABC)
- ^[ZDNet] Australian Broadcasting Corporation confirms S3 data leak
NSA Incident
- ^{[SecurityAffairs]} Kaspersky provided further details on NSA Incident. Other APTs targeted the same PC
- ^[HackRead] Kaspersky Investigators Reveal How NSA Hacking Tools Were Stolen
- ^{[TheHackerNews]} Kaspersky: NSA Worker’s Computer Was Already Infected With Malware
- ^{[SecurityWeek]} Kaspersky Shares More Details on NSA Incident
- ^[RT] ‘US will never retract accusations against Kaspersky – Russia must always be blamed for something’
- ^{[FifthDomain]} Kaspersky Lab releases report into upload of NSA documents
- ^{[DarkReading]} 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
DJI
- ^{[SecurityWeek]} Drone Maker DJI, Researcher Quarrel Over Bug Bounty Program

Industrial/Infrastructure/Physical System/HVAC

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks

Internet of Things

Summaries

독일의 전기통신 규제기관^{(Telecoms regulator)}인 연방네트워크기구 ^{(FNA, Federal Network Agency, Bundesnetzagentur)}에서 어린이용 스마트워치를 스파이 기기라 칭하며 금지시켰다. 그리고 부모들에게 5세에서 12세 사이의 어린이들에게 주로 사용되는 이 시계들을 부숴버리라^{(to destroy)} 촉구했다. 이러한 결정은 기관이 “내 친구 케일라 인형^{(My Friend Cayla Doll)}“을 스마트 장난감이 아이들의 대화를 듣고 실시간으로 답변하는 감시^{(surveillance)}행위를 한다며 금지시킨지 몇달 후 이루어졌다. Bundesnetzagentur는 이 인형이 인증되지 않은 무선 통신 장치의 정확한 사례에 해당한다고 설명했다.

Detailed News List

German bans Smartwatches
- ^[HackRead] Germany bans kids smartwatches, asks parents to destroy them

Social Engineering/Phishing/Con/Scam

Summaries

맥아피^(McAfee)의 해킹방지^{(Anti-hacking)} 서비스인 클릭프로텍트^{(ClickProtect)}가 이메일에 포함된 Emotet 악성코드 파일로의 URL을 안전하다고 연결하는 사건이 있었다. 이 Emotet 파일은 제3자 웹사이트에 업로드되어 있었고, 해당 주소로의 링크가 메일로 공유되었다. 보안연구가 Benkow는 메일에 포함된 모든 웹 링크를 ClickProtect가 cp.mcafee.com 도메인을 사용한 주소로 변환하는 것을 확인했다. 그리고 사용자들이 해당 링크를 클릭하면 클릭프로젝트 서비스에서 해당 링크가 안전한지 여부를 매번 확인한다. Benkow에 따르면 맥아피의 ClickProtect 도메인으로 등록된 URL은 Emotet 뱅킹 악성코드를 포함하고있는 감염된 MS 워드 문서 파일로 정상적으로 연결되었다. 이 사건이 알려지자 맥아피는 이 문제에 대해서 ClickProtect의 기능은 정상적으로 작동했다고 밝혔다. 그리고 Benkow가 말한 것은 클릭프로텍트의 평판기반^{(reputation-based)} 상태 탐지와 그에 대한 대응의 시간차^(timing)에 의한 것이라고 답했다. 최초 11월 13일 이른 시간에는 해당 URL이 악성코드를 배포하는 것으로 분류되지 않았었지만, 그 이후에는 이 링크를 위협^(threat)으로 분류하고 평판 등급을 낮음^{(Low risk)}에서 높음^{(High risk)}로 재조정해 고객들이 이 링크로 접근할 수 없도록 막았다는 것이다. 그러나 ZDNet에 따르면, 해당 링크는 목요일까지 접근 가능했으며 맥아피 주장과는 다르게 차단되지 않았다.

Detailed News List

McAfee ClickProtect
- ^[HackRead] McAfee’s ClickProtect Apparently Infected Devices with Banking Malware
- ^{[SecurityWeek]} EMOTET Trojan Variant Evades Malware Analysis