Security Newsletters, 2018 Jan 22nd, 우버 인증 우회 버그 리포트 무시 外

Posted on 2018-01-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)

Detailed News list

Lebanon Spyware
- _[CSOOnline]
  Dark Caracal: Hacking group tied to Android spyware traced to Lebanon
- _{[EHackingNews]}
  Lebanon Spyware Uncovered, Steals Data through Fake Messaging Apps

Malwares

Summaries

구글 플레이 스토어에서 4백만번 다운로드된 게임 앱이 안드로이드 악성코드에 감염된 사실이 확인되었다. 러시아의 사이버보안 기업인 Dr.Web에서 구글 플레이 스토어에 등록되어 있는 게임 앱에서, 피싱 공격으로 사용자로부터 개인정보를 훔치는 안드로이드 악성코드가 숨겨져 있는 것을 발견했다. Android.RemoteCode.127.origin이라 명명된 이 악성코드는 450만 번 다운로드된 27개의 게임에서 발견되었다. 안드로이드 장치를 감염시키면 이 악성코드는 몰래 악성 웹사이트에 접근하고, 그곳의 배너 및 링크를 클릭한다. 그리고 이 악성코드는 피싱 윈도우를 표시하거나 로그인 인증정보를 훔치고, 스팸 광고를 표시하고, 사용자의 동의나 알림없이 기타 다른 악성 앱을 다운로드 하는 등의 기능을 가진 추가적인 트로이 모듈을 다운로드한다.

Detailed News List

Android Malware
- _[HackRead]
  Android Malware in gaming apps on Play Store downloaded 4 million times

Exploits/Vulnerabilities

Summaries

우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리^{(New Delhi)}의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다.
젠킨스^(Jenkins) 서버에서 잘못된 설정으로 인해 민감 정보가 노출될 수 있는 버그가 발견되었다. 젠킨스는 유명한 오픈소스 자동화 서버로, CloudBees와 Jenkins 커뮤니티에 의해 관리되고 있다. 자동화 서버는 개발자들이 자신의 어플리케이션을 빌드, 테스트, 배포하는 것을 지원하며 전세계적으로 1백만명 이상의 사용자를 가지고 있으며 133,000번 이상 설치되었다. 이번에 취약점을 찾은 보안 연구가는 인터넷에 노출된 젠킨스 서버들을 검색해 분석했으며, 개중 10에서 20%의 서버들이 잘못 설정되어 있었다. 이렇게 잘못 설정된 서버들은 guest나 administrator 권한을 기본으로 제공한다.

Detailed News List

Uber
- _[ZDNet]
  Uber ignores security bug that makes its two-factor authentication useless
Jenkins
- _{[SecurityAffairs]}
  Researchers found misconfigured Jenkins servers leaking sensitive data

Data Breaches/Info Leakages

Summaries

새로운 샘샘^(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다.
스마트폰 제조사 원플러스^(OnePlus)가 고객 신용카드 정보가 침해당한 사실을 인정했다. 원플러스 공식사이트에서 기기를 구매한 4만여명의 고객들의 신용카드 정보가 유출되었다.

Detailed News List

SamSam Ransomware
- _{[SecurityAffairs]}
  A hospital victim of a new SamSam Ransomware campaign paid $55,000 ransom
OnePlus
- _{[SecurityAffairs]}
  OnePlus admitted hackers stole credit card information belonging to up to 40,000 customers

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

해커가 고객을 속이기 위해서 주유기^{(gas pump)}를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB^{(Federal Security Service)}가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다.

Detailed News List

Gas Pumps
- _[ThreatPost]
  Hacker Infects Gas Pumps with Code to Cheat Customers

Security Newsletters, Nov 19th, 2017

Posted on 2017-11-19 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

엑셀^(Excel) 파일을 읽는데 사용하는 LibXL C 라이브러리에서 다수의 취약점이 발견되었다. 각각의 취약점들은 취약점 점수 체계 척도^{(Common Vulnerability Scoring System scale)}에서 8.8점을 받았다. 공격자는 특별하게 조작된 XLS파일을 사용하는 방식으로 이 취약점들을 공격해서 원격 코드 실행^{(Remote code execution)}을 할 수 있다. 시스코 탈로스^{(Cisco Talos)} 연구자들에 따르면 이 LibXL 라이브러리는 Windows, Mac, Linux에서 지원되며, 구형 엑셀97 부터 현재의 XLS까지 마이크로소프트 엑셀 파일 형식의 파일들을 읽을 수 있다. 발견된 취약점들은 각각 CVE-2017-2896, CVE-2017-2897, CVE-2017-12110, CVE-2017-2919, CVE-2017-12108, CVE-2017-12109, CVE-2017-12111 이다.
아마존^(Amazon)이 키 서비스^{(Key service)} 해킹을 차단하기 위한 보완을 약속했다. Rhino Security의 보안연구가들은 아마존의 Key 배달 서비스와 클라우드 캠 보안 카메라에서 취약점을 찾은바 있다. 이 취약점은 공격자가 카메라를 조작해 오프라인으로 만들어, 집에 누군가 들어오는 것이 보이지 않게 만든다. 아마존의 키 서비스는 집 주인이 원격으로 방문객을 위해 정문을 열거나 잠글 수 있도록 해준다. 이 서비스는 아마존의 클라우드 캠 보안 카메라와 함께 결합하여 동작한다. 그리고 만약 사용자가 프라임 멤버인 경우, 아마존 배달원이 인증을 통해 배달 대상 고객의 집 정문을 열고 소포를 문 안쪽에 넣어두고 다시 잠글 수 있도록 해주는 서비스다.
구글 플레이스토어^{(Google Playstore)}에 등록되어 있는 어플리케이션에서 악성코드군이 3개 더 발견되었다. McAfee, ESET, Malwarebytes의 리포트에 따르면 다수의 악성 어플리케이션이 구글 플레이스토어에서 발견되었다. 각각 Grabos, TrojanDropper.Agent.BKY, AsiaHitGroup을 발견해 리포트로 발표했다.

Detailed News List

LibXL Library
- ^[ThreatPost] MULTIPLE VULNERABILITIES IN LIBXL LIBRARY OPEN DOOR TO RCE ATTACKS
- ^{[TalosIntelligence]} Vulnerability Spotlight: Multiple Remote Code Execution Vulnerabilities Within libxls
Amazon Key Service
- ^[ThreatPost] AMAZON PROMISES FIX TO STOP KEY SERVICE HACK
- ^[ZDNet] Amazon: We’re fixing flaw that leaves Key security camera open to Wi-Fi jamming
- ^[HackRead] Researchers demonstrate Amazon Key system can be hacked
Malicious Apps on Goole Playstore
- ^[SCMagazine] 3 More Android Malware Families Invade Google Play Store
- ^[McAfee] New Android Malware Found in 144 GooglePlay Apps
- ^[ESET] Multi-stage malware sneaks into Google Play
- ^{[Malwarebytes Labs]} New Android Trojan malware discovered in Google Play
- ^{[Information Security Buzz]} ESET Researchers Have Discovered Malware With Improved Ability To Bypass Google Play’s Protection Mechanisms

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

1/3의 미국 기업들이 유럽의 새로운 개인정보보호규정인 GDPR^{(General Data Protection Regulation)}에 대비가 안되어있다고 느낀다는 조사 결과가 나왔다. Censuswide에 의해 진행된 이 조사는 유럽과 미국의 조직들이 2018년 5월까지인 GDPR 준수 데드라인에 대해 본사가 어디에 위치해 있는지와는 상관없이 EU 국민들의 개인정보를 처리하는 기관에게는 상당한 부담이 되고 있다는 것을 보여준다. 이는 미국 기관이라도 유럽 국민의 데이터를 처리하는 기관은 2018년 5월까지 GDPR 규정을 준수해야 한다는 의미다. 연구 결과에 따르면 35%의 미국 기관들이 이미 GDPR을 제시간내에 준비하지 못할 것이라 예상했다. 거기에 덧붙여, 미국 기관들은 GDPR이 사업에 미칠 영향에 대해서도 우려하고 있다.
트위터^(Twitter)가 백인 우월주의자들에 대한 강경한 정책을 내놓았다. 지난 15일 트위터는 TwitterSupport 계정으로 확인^{(Verification)} 프로그램 정책 변경 트윗 메시지를 게시했다. 실제로 트위터는 확인됨^{(verified badges)} 뱃지에 대한 정책을 변경했다. 새로운 정책에 따르면, 트위터 사용자는 다른 사람을 괴롭히는^(harassment) 선동^(inciting)을 하거나 직접 관여^(engaging)할 경우, 인종^(race), 민족^(ethnicity), 국적^{(national origin)}, 성적취향^{(sexual orientation)}, 성별^(gender), 성 정체성^{(gender identity)}, 소속 종교^{(religious affiliation)}, 나이, 장애, 질병에 기반해 다른 사람들을 직접적으로 공격^{(directly attacking)} 또는 위협^{(threatening)}하거나 증오나 폭력을 조장하는^{(promoting hate and/or violence)} 행위, 이러한 생각을 조장하는 이를 지지하는^(supporting) 행위, 그리고 기타 다른 이유로 파란색 확인 뱃지를 잃을 수 있다. 검증^{(Verification)}이 보증/지지^{(endorsement)}로 오랫동안 잘못 인식되어 온 것에 대한 조치라는 평가다.
뉴욕경찰이 휴대전화를 감시하고 싶은 경우 영장을 필요로 한다는 판결이 내려졌다. 뉴욕주 판사는 경찰의 강력한 감시 도구인 일명, 가오리^{(스팅레이, stingray)}라는 장치가 실제의 정상적인 휴대전화 기지국을 흉내내며, “검색”을 수행하기 때문에 대부분의 상황에서 영장을 받아야 한다고 결론을 내렸다. 브루클린의 뉴욕 주 대법원 판사는 이번달 초 살인 미수 건에서 뉴욕 경찰국 경찰관은 침입^(invasive) 장비를 사용하기 전에 표준을 따라, 상당 근거에 의한 영장을 받았어야 했다고 판결을 내렸다. ARS의 2013년 기사에 따르면 스팅레이^(Stinglay)는 기지국을 속여서 휴대전화의 위치를 가늠할 수 있다. 그리고 일부의 경우, 스팅레이는 전화나 문자 메시지를 가로챌 수 있다. 한번 설치되고나면, 이 장치는 대상 휴대전화의 데이터를 인근에 위치한 휴대전화의 정보화 함께 가로챈다.

Detailed News List

GDPR
- ^{[HelpNetSecurity]} A third of US businesses do not feel prepared for GDPR deadline
- ^{[InformationSecurityBuzz]} GDPR – Know The Seven Key Principles
- ^{[DarkReading]} We’re Still Not Ready for GDPR? What is Wrong With Us?
Twitter against White supremacists
- ^{[NakedSecurity]} Twitter gets tough on white supremacists with new policy
NYPD Stinglay
- ^{[ARSTechnica]} If NYPD cops want to snoop on your phone, they need a warrant, judge rules
- ^{[ARSTechnica]} Meet the machines that steal your phone’s data

Privacy

Summaries

아마존^(Amazon) S3 버킷^(Bucket)의 잘못된 설정으로 데이터가 유출되는 사고가 또 발생했다. 이번에는 문제가 되는 것이 미군^{(US Military)}에 의한 소셜미디어에서의 테라바이트 단위의 감시 결과가 온라인에 노출된 것이다. 이 잘못 설정된 아마존 S3 버킷들은 소셜미디어 포스트와 요주의 인물^{(Person of interest)}을 식별 및 프로파일링 하기 위해 미군에 의해 전 세계로부터 수집된 유사 페이지들이 포함되어 있었다. 이 문서들은 Chris Vickey에 의해 발견되었으며, 세개의 버킷들 이름은 각각 centcom-backup, centcom-archive, pacom-archive다. CENTCOM은 미 중앙사령부^{(US Central Command)}의 축약어다. 미군 사령부는 중동, 북아프리카, 중앙아시아를 담당한다. 유사하게, PACOM은 미 태평양 사령부^{(US Pacific Command)}로 남아시아, 중국, 호주를 담당한다. 하나의 버킷에는 8년 전 부터 지금까지 자동화된 수집 활동을 보여주는 18억개의 소셜 미디어 포스트 결과가 담겨있었다.

Detailed News List

US military social media surveillance
- ^{[SecurityAffairs]} Terabytes of US military social media surveillance miserably left wide open in AWS S3 buckets
- ^{[PacketStorm]} Massive US Military Social Media Spying Archive Left Wide Open In AWS S3 Buckets
- ^[HackRead] Misconfigured Amazon S3 Buckets Exposed US Military’s Social Media Spying Campaign
- ^[Techdirt] Defense Department Spied On Social Media, Left All Its Collected Data Exposed To Anyone
- ^[CyberScoop] Pentagon left AWS databases publicly exposed

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

11월 초 테네시^(Tennessee) 주의 스프링 힐 시티^{(City of Spring Hill)}가 랜섬웨어 공격을 받은 바 있다. 그러나 정부에서는 사이버 범죄자들이 백업으로부터 데이터베이스 내용을 복원하는데 요구한 $250,000의 몸값 제공을 거부했다. 이 악성코드는 도시에 심각한 상처를 남겼고, 수많은 일상적인 행동들에 영향이 있었다. 근무자들이 이메일에 접근하지 못하거나, 입주민들은 온라인으로 세를 지불하거나 신용카드를 공과금을 내거나 법원 벌금을 내는데 사용할 수 없었다. 그리고 어떤 다른 금융거래도 불가능했다. 응급전화를 받는 사람들은 상황이 더 심각해 전화 기록을 손으로 받아써야 하는 정도였다.

Detailed News List

City of Spring Hill
- ^{[SecurityAffairs]} City of Spring Hill in Tennessee still hasn’t recovered from ransomware attack

Social Engineering/Phishing/Con/Scam

Summaries

블랙프라이데이^{(Black Friday)} 및 사이버 먼데이^{(Cyber Monday)} 연중 세일 행사를 노린 각종 공격과 사기에 대한 주의 및 경고 기사가 급증하고 있다. 카스퍼스키 랩^{(Kaspersky Lab)}에 따르면 소비자들이 놀라운 할인 기회를 얻을 수 있지만, 금융 피싱 공격이 최고치를 기록하는 날이기도 하다.

Detailed News List

Black Friday
- ^{[InfoSecurityMagazine]} Skip Black Friday for a Safer Shopping Day: Gray Saturday
- ^{[Malwarebytes Lab]} 10 tips for safe online shopping on Cyber Monday
- ^{[InfoSecurityMagazine]} Fake Black Friday Apps Set to Cause Consumer Chaos

Mobile/Cloud

Summaries

체크 포인트^{(Check Point)}가 전세계 850개 기관을 상대로 한 조사에 따르면, 모든 비즈니스가 모바일 악성코드 공격을 경험한 것으로 드러났다. 회사마다 모바일 악성코드 공격을 경험한 평균치는 54회다. 또한, 89%의 기업은 최소 한번의 중간자공격^{(MitM, Man-in-the-Middle attack)}을 Wi-Fi 네트워크에서 겪었다. 또한 엔터프라이즈 이동성^{(enterprise mobility)}은 주류 플랫폼인 안드로이드와 iOS 플랫폼 둘 다 공격에 매우 민감한 것으로 나타났다. 75%의 기업들이 최소 하나 이상의 탈옥^(jailbroken)한 iOS 장치나 루팅^(rooted)한 안드로이드 장치가 기업 네트워크에 접속되었고, 루팅되거나 탈옥한 장치들의 평균 수치는 회사당 35개였다.

Detailed News List

100% Mobile Cyberattack
- ^{[InfoSecurityMagazine]} 100% of Businesses Have Faced a Mobile Cyberattack
- ^{[DarkReading]} Mobile Malware Incidents Hit 100% of Businesses

Technologies/Technical Documents/Statistics/Reports

Summaries

절반의 기관들에서 SSH 권한에 대한 감사를 진행하지 않는 것으로 드러났다. 악의적인 내부자와 같은 사이버 범죄자들은 원격지에서 시스템에 접근하고 보안 툴들을 우회하고 권한을 상승시키기 위해 SSH 키를 사용한다. Venafi가 10월에 조사한 결과에 따르면, SSH 키가 가장 높은 관리자 엑세스 권한을 제공하더라도 정기적으로 추적하거나 관리되지 않으며 보안이 매우 취약한 것으로 드러났다.
StartCom이 인증기관 사업에서 철수한다. 논란이 되어왔던 StartCom 인증기관이 사업에서 이제 물러난다. StartCom 의장 Xiaosheng Tan은 인터뷰에서 2018년 1월 1일 새로운 인증서를 더이상 발급하지 않으며 서비스를 중단할 것이라 밝혔다. CRL와 OCSP 서비스는 2년간 지원된다. StartCom과 Wosign 인증서는 이미 모질라, 애플, 구글, 마이크로소프트에 의해 신뢰할 수 없는 대상 목록에 올랐었다. w3tech에 따르면 0.1퍼센트의 웹사이트만 StartCom SSL 인증서를 사용하고 있다.

Detailed News List

Auditing SSH entitlements
- ^{[HelpNetSecurity]} Half of organizations do not audit SSH entitlements
StartCom
- ^{[TheRegister]} Shamed TLS/SSL cert authority StartCom to shut up shop

Security Newsletters, Nov 18th, 2017

Posted on 2017-11-18 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

악명높은 제우스^(ZeuS) 뱅킹 트로이에 기반한 정교한 악성코드 Terdot에 페이스북, 트위터, 지메일 계정을 훔치는 기능이 추가된 것이 확인되었다. Terdot 뱅킹 트로이는 2016년 중순 이후로 활동해온 악성코드로, 초기에는 프록시^(Proxy)로 기능하도록 설계되어 중간자공격^{(MitM, Man-in-the-Middle)}을 수행하면서 방문하는 웹 페이지에 HTML 코드를 주사^(injecting)해 신용카드 정보나 로그인 인증정보를 훔쳤다. 그러나 비트디펜더^{(Bitdefender)}의 연구자들은 이 뱅킹 트로이에 가짜 SSL 인증서를 사용해 소셜 미디어 및 이메일 계정에 대한 접근권한을 얻기 위한 기능과 감염된 사용자 대신에 글을 올리는 기능까지 새로운 사이버 스파이^{(cyber espionage)} 기능을 탑재한 것을 확인했다.
인터넷에 공개되어 있는 중소기업의 RDP를 통해 SMB를 노리는 랜섬웨어 공격이 확인되었다. 많은 비즈니스 네트워크에 문제가 되는 취약한 비밀번호를 노리는 공격이다. 인터넷에 노출되어 있는 RDP 포트를 탐지하는 것은 어렵지 않다. 사이버 범죄자들은 쇼단^(Shodan)과 같은 특화된 검색엔진 등을 활용해 RDP가 열린 시스템을 찾아내고 해당 시스템에 대해서 공개된 툴이나 별도의 툴을 사용해 공격한다.

Detailed News List

Terdot banking trojan
- ^{[TheHackerNews]} Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts
- ^{[SecurityWeek]} Terdot Banking Trojan Could Act as Cyber-Espionage Tool
- ^{[DarkReading]} Terdot Banking Trojan Spies on Email, Social Media
Ransomware via RDP
- ^{[SecurityWeek]} Ransomware Targets SMBs via RDP Attacks
- ^{[DarkReading]} Crooks Turn to Delivering Ransomware via RDP

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

마이크로소프트^(Microsoft)가 소유한 스카이프^(Skype)가 도청^{(Eavesdropping)}을 거부한 결과 벨기에 법원에서 약 $35,000^(€30,000)에 달하는 벌금형을 받을 것으로 보인다. 마이크로소프트는 1) 기술적으로 불가능하며 2) 법률이 통신사업자 대상이므로 적용되어선 안된다고 말했다. 스카이프는 수요일에 벨기에 법원에서 패소했다. 독일 뉴스에 따르면, 이 문제는 2012년 시작되었다. 벨기에 정부가 Skype에서 이루어진 조직범죄자들의 대화를 도청하길 요구하면서 부터다. 검찰에 따르면 스카이프는 요청에 일부에 대해서만 응했는데, 이메일, 사용자 기록, 계정정보, 아이피 주소와 같은 메타데이터만 제공한 것이다. 그러나 대화 내용에 대해서는 스카이프는 엿듣는 것이 기술적으로 불가능한 일이라고 말했다.

Detailed News List

Skype
- ^{[NakedSecurity]} Skype faces fine after refusing to allow eavesdropping

Patches/Updates

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.
오라클^(Oracle)이 PeopleSoft 앱 서버의 심각한 취약점 수정을 위한 5개 패치를 릴리즈했다. 5개 취약점은 JoltandBleed라 명명된 취약점을 포함한다. 이 취약점은 2014년에 OpenSSL에서 발견된 HeartBleed와의 유사성 때문에 이런 이름이 붙었다. JoltandBleed 취약점은 PeopleSoft 플랫폼에서 구동되는 전체 어플리케이션을 인터넷을 통해 노출시킬 수 있는 심각한 취약점이다. JoltandBleed는 오라클의 Tuxedo 2 어플리케이션 서버에서 사용된, Jolt 프로토콜에 존재하는 메모리 유출 취약점이다. 조작된 네트워크 패킷을 Jolt 서비스가 제어하는 HTTP 포트로 전송하면 앱 서버의 메모리에서 세션 정보, 사용자 이름, 비밀번호 등을 평문으로 추출할 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks
Oracle JoltandBleed
- ^{[ARSTechnica]} Oracle rushes out 5 patches for huge vulnerabilities in PeopleSoft app server
- ^[Oracle] Oracle Security Alert Advisory – CVE-2017-10269

Cyber Intelligence

Summaries

IBM Threat Intelligence에서 쿼드나인^(Quad9)이라 불리는 새로운 무료 DNS^{(Domain Name System)} 서비스를 시작했다. 이 DNS 서비스는 악성으로 분류된 웹사이트에 대한 접근을 자동으로 제한하는 자동화된 면역시스템을 제공한다. 쿼드나인이라 불리는 이유는 DNS 서버 주소가 9.9.9.9 이기 때문이다. 새로운 이 서비스는 IBM Security, Packet Clearing House^(PCH), The Global Cyber Alliance^(GCA)에 의해 런칭되었다. 이 서비스는 사용자의 DNS 질의를 보안네트워크를 통해 전달하고, 웹사이트의 인정성 여부를 판단하기 위해 실시간으로 다수의 사이버보안 기업들의 위협 정보^{(threat intelligence)}를 사용한다. 사용자의 브라우저는 시스템이 감염된 것으로 탐지되면 자동으로 웹사이트 접근을 차단한다.
소스코드 호스팅 서비스인 GitHub이 취약한 라이브러리 사용에 대해 개발자들에게 알려주는 서비스를 시작했다. GitHub는 최근 의존성 그래프^{(Dependency Graph)}라는 기능을 인사이트^(Insight) 섹션에 도입했다. 이 기능은 프로젝트가 사용하는 라이브러리 목록을 보여준다. 이 기능은 현재 자바스크립트와 루비를 지원하는데, 내년에는 파이썬까지 추가로 지원할 계획이다. GitHub이 추가한 이 새로운 보안기능은 프로젝트 의존성에 알려진 취약점이 있을 때, 개발자들에게 경고하는 것을 목표로 설계된 기능이다. 의존성 그래프와 보안 알림 기능은 공개 리포지토리^(repository)에 대해서는 자동적으로 활성화 된다. 그러나 비밀 리포지토리에 대해서는 선택적 활성화^(Opt-in) 대상이다.

Detailed News List

Quad9 DNS service
- ^{[SecurityWeek]} Group Launches Secure DNS Service Powered by IBM Threat Intelligence
- ^{[DarkReading]} IBM, Nonprofits Team Up in New Free DNS Service
GitHub Dependency Graph
- ^{[SecurityWeek]} GitHub Warns Developers When Using Vulnerable Libraries

Privacy

Summaries

원플러스^(OnePlus) 스마트폰이 루팅 없이도 루트권한을 사용할 수 있게 해주는 어플리케이션^{(EngineerMode)}이 설치되어 있었던 사건 이후, 사용자의 정보를 수집하는 앱인 OnePlusLogKit 까지 사전설치^{(pre-installed)}되어있어 또 한번 이슈가 되고있다. 이번 발견도 EngineerMode 어플리케이션을 찾아냈던 Elliot Anderson 트위터 사용자에 의해 공개되었고, 이 어플리케이션은 시스템 권한^(Privileges)으로 실행되며 사용자의 GPS 기록, WIFI 데이터, 블루투스, NFC, 사진, 동영상, 실행 프로세스 목록 등에 접근한다.

Detailed News List

OnePlus
- ^[HackRead] Another preinstalled app found on OnePlus that could collect user data
- ^{[TheHackerNews]} Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs

Data Breaches/Info Leakages

Summaries

호주 ABC 방송국이 최소 두개의 S3 리포지토리에서 민감 정보를 유출시키는 사고가 일어났다. 11월 16일에 알려진 이 사고는 기술팀이 즉각 대응해서 문제를 해결했다고 밝혔다. 크롬테크^(Kromtech)에 따르면 노출된 데이터는 외부로 나와서는 안될 제작 서비스 및 파일들이었다. 노출된 파일에는 수천통의 이메일, ABC Commercial 사용자가 컨텐츠에 접근하기 위한 로그인 및 비밀번호 정보, 전세계 미디어 제작자들로 부터의 라이센싱한 컨텐츠 요청들, 다른 저장소들의 비밀 접근 키 및 로그인 상세정보, 비디오 컨텐츠, 2015년 부터 지금까지 1,800개의 MySQL 일일 백업 등 이었다.
카스퍼스키랩^{(Kaspersky Lab)}이 NSA 사고에 대하여 상세한 정보를 공개하고 있다. 문제가 된 PC가 다른 APT 공격에서도 공격 대상이 되었다. 카스퍼스키는 2015년 러시아 첩보기관이 NSA의 사이버 무기를 카스퍼스키 안티바이러스를 사용하는 직원중 한명의 PC에서 훔쳐냈다는 주장에서 직접적인 관련성에 대해 계속 부인해왔다. 문제가 되는 PC는 NSA 직원이 마이크로소프트 오피스^{(Microsoft Office)} 불법 복제본을 사용하는 과정에서, 오피스의 키 생성기^{(Key generator)}에 숨겨진 백도어^(backdoor)가 설치되면서 해킹 당한 것으로 알려졌다.
세계 최대의 드론 제조사중 하나인 중국의 DJI와 보안연구가 사이의 버그바운티^{(Bug bounty)} 프로그램에 대한 언쟁이 기사화 되었다. DJI는 8월말 버그바운티 프로그램을 실행함을 알리며 백도어를 만들거나, 민감한 고객정보, 소스코드, 암호화 키를 노출시키는 취약점에 대해 $100에서 부터 $30,000까지 현상금을 지불하겠다고 공지했다. Kevin Finsisterre 보안 연구가는 DJI가 SSL 키와 AES 암호화 키를 GitHub의 소스코드에 공개해 놓은 것을 확인했고, 거기에는 여권, 면허증 정보등이 포함되어 있었다. 이 내용을 DJI에 알린 후에 Kevin은 최고액인 $30,000에 해당한다는 연락을 받았다. 그러나, DJI는 버그바운티 보상금을 받기 위해서는 사전에 동의서에 서명을 했었어야 한다고 말했다.

Detailed News List

Australian Broadcasting Corporation (ABC)
- ^[ZDNet] Australian Broadcasting Corporation confirms S3 data leak
NSA Incident
- ^{[SecurityAffairs]} Kaspersky provided further details on NSA Incident. Other APTs targeted the same PC
- ^[HackRead] Kaspersky Investigators Reveal How NSA Hacking Tools Were Stolen
- ^{[TheHackerNews]} Kaspersky: NSA Worker’s Computer Was Already Infected With Malware
- ^{[SecurityWeek]} Kaspersky Shares More Details on NSA Incident
- ^[RT] ‘US will never retract accusations against Kaspersky – Russia must always be blamed for something’
- ^{[FifthDomain]} Kaspersky Lab releases report into upload of NSA documents
- ^{[DarkReading]} 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
DJI
- ^{[SecurityWeek]} Drone Maker DJI, Researcher Quarrel Over Bug Bounty Program

Industrial/Infrastructure/Physical System/HVAC

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks

Internet of Things

Summaries

독일의 전기통신 규제기관^{(Telecoms regulator)}인 연방네트워크기구 ^{(FNA, Federal Network Agency, Bundesnetzagentur)}에서 어린이용 스마트워치를 스파이 기기라 칭하며 금지시켰다. 그리고 부모들에게 5세에서 12세 사이의 어린이들에게 주로 사용되는 이 시계들을 부숴버리라^{(to destroy)} 촉구했다. 이러한 결정은 기관이 “내 친구 케일라 인형^{(My Friend Cayla Doll)}“을 스마트 장난감이 아이들의 대화를 듣고 실시간으로 답변하는 감시^{(surveillance)}행위를 한다며 금지시킨지 몇달 후 이루어졌다. Bundesnetzagentur는 이 인형이 인증되지 않은 무선 통신 장치의 정확한 사례에 해당한다고 설명했다.

Detailed News List

German bans Smartwatches
- ^[HackRead] Germany bans kids smartwatches, asks parents to destroy them

Social Engineering/Phishing/Con/Scam

Summaries

맥아피^(McAfee)의 해킹방지^{(Anti-hacking)} 서비스인 클릭프로텍트^{(ClickProtect)}가 이메일에 포함된 Emotet 악성코드 파일로의 URL을 안전하다고 연결하는 사건이 있었다. 이 Emotet 파일은 제3자 웹사이트에 업로드되어 있었고, 해당 주소로의 링크가 메일로 공유되었다. 보안연구가 Benkow는 메일에 포함된 모든 웹 링크를 ClickProtect가 cp.mcafee.com 도메인을 사용한 주소로 변환하는 것을 확인했다. 그리고 사용자들이 해당 링크를 클릭하면 클릭프로젝트 서비스에서 해당 링크가 안전한지 여부를 매번 확인한다. Benkow에 따르면 맥아피의 ClickProtect 도메인으로 등록된 URL은 Emotet 뱅킹 악성코드를 포함하고있는 감염된 MS 워드 문서 파일로 정상적으로 연결되었다. 이 사건이 알려지자 맥아피는 이 문제에 대해서 ClickProtect의 기능은 정상적으로 작동했다고 밝혔다. 그리고 Benkow가 말한 것은 클릭프로텍트의 평판기반^{(reputation-based)} 상태 탐지와 그에 대한 대응의 시간차^(timing)에 의한 것이라고 답했다. 최초 11월 13일 이른 시간에는 해당 URL이 악성코드를 배포하는 것으로 분류되지 않았었지만, 그 이후에는 이 링크를 위협^(threat)으로 분류하고 평판 등급을 낮음^{(Low risk)}에서 높음^{(High risk)}로 재조정해 고객들이 이 링크로 접근할 수 없도록 막았다는 것이다. 그러나 ZDNet에 따르면, 해당 링크는 목요일까지 접근 가능했으며 맥아피 주장과는 다르게 차단되지 않았다.

Detailed News List

McAfee ClickProtect
- ^[HackRead] McAfee’s ClickProtect Apparently Infected Devices with Banking Malware
- ^{[SecurityWeek]} EMOTET Trojan Variant Evades Malware Analysis

Security Newsletters, Nov 15th, 2017

Posted on 2017-11-15 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

섀도우 브로커^{(Shadow Brokers)}의 사이버공격이 어떻게 미국 첩보기관인 NSA에 침투할 수 있었는가에 대한 기사가 등록됐다.

Detailed News list

Shadow Brokers

Malwares/Exploits/Vulnerabilities

Summaries

신규 IceID 트로이가 미국 은행들을 노리고 있다. IceID 트로이는 IBM의 X-Force 연구팀에 의해 9월에 발견되었다. 발표에 따르면 이 트로이는 특출난 몇몇의 기술 및 기능이 있는데, 네트워크를 통해 전파되며 로컬 프록시를 사용한 트래픽 터널링으로 브라우저 활동을 모니터링 할 수 있다. 월요일에 공개된 발표에 따르면 이 악성코드는 미국내 은행, 지불카드사, 모바일 서비스 제공사, 급여, 웹메일, 전자상거래 사이트를 대상으로 하고 있다. 그리고 두 곳의 영국 기반의 은행들도 대상이다. IceID는 Emotet 트로이에 의해 유포되고 있다. Emotet은 이미 은행에서 보낸 것 처럼 꾸민 악성 ZIP파일이 포함된 스팸 작전으로도 알려져있다.
마이크로소프트^(Microsoft)의 윈도우즈 디펜더^{(Windows Defender)}는 최근 알려진 AVGater에 대해 취약하지 않다는 기사가 올라왔다. 최근 발표된 취약점인 AVGater는 안티바이러스 제품들의 검역소^(Quarantine)기능을 이용해 악성 DLL 파일을 검역소로 이동시켰다가 보안 프로그램의 윈도우 프로세스를 이 파일을 복구하는데 이용하는 방법이다. 그러나 마이크로소프트는 윈도우즈 디펜더가 사용자 계정에서 실행된 응용프로그램^{(launched by user-level account)}이 검역소의 파일을 복구하는 것을 허용하지 않기 때문에 이 AVGater에 영향을 받지 않는다고 밝혔다.
음성인식 시스템^{(Voice recognition systems)}이 성대모사꾼^{(impersonators)}에 의해 쉽게 속아넘어 갈 수 있다고 핀란드 대학 연구가 주장했다. 동핀란드 대학^{(University of Eastern Finland)} 연구원들은 최고급 음성인식 시스템이 낮은 보안 수준으로 인해서 상대적으로 공격하기 쉽다고 주장했다. 목소리 변화에 대한 인식에 효율적이지 않아서 훈련된 성대모사꾼이 시스템을 속일 수 있다는 것이다.

Detailed News List

New IceID
- ^[ThreatPost] NEW ICEDID TROJAN TARGETS US BANKS
- ^{[SecurityIntelligence]} New Banking Trojan IcedID Discovered by IBM X-Force Research
- ^{[DarkReading]} New Banking Trojan Similar to Dridex, Zeus, Gozi
- ^{[SecurityWeek]} New IcedID Banking Trojan Emerges
- ^{[BleepingComputer]} New IcedID Banking Trojan Discovered
AVGater
- ^{[SecurityWeek]} Windows Defender Immune to AVGater Quarantine Flaw: Microsoft
- ^[Microsoft] AVGater vulnerability does not affect windows defender antivirus
Voice Recognition System
- ^[v3] Voice recognition systems easily fooled by impersonators, claims Finnish university study

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

GDPR^{(the European Union’s General Data Protection Regulation)} 적용의 데드라인이 다가오는 가운데, 기업들이 모바일 기기 사용에 대해 통제하고 있다는 맹목적인 믿음이 있다는 보고서가 나왔다. 설문에서 61%의 기업 보안 및 IT 책임자들은 사용자들이 기업 자산^(Resource)을 모바일 장치에서 접근하는 것에 대해 제한하고 있다고 믿는다는 결과를 내놓았다. 그러나 64%의 직원들은 기업 고객, 파트너, 직원 데이터에 이런 장치들로 접근 가능하다는 것을 인정했다. 58%의 직원들은 고객의 개인식별정보^{(PII, Personally Identifiable Information)}를 모바일 기기에서 조회할 수 있다고 말했다.

Detailed News List

GDPR
- ^{[DarkReading]} Companies Blindly Believe They’ve Locked Down Users’ Mobile Use
- ^{[InformationManagement]} 8 ways the GDPR could impact most organizations

Patches/Updates

Summaries

파이어폭스^(Firefox)의 새로운 버젼인 57, 일명 퀀텀^(Quantum)이 공개되었다. 모질라 재단이 윈도우즈, 맥, 리눅스용 Firefox 57 릴리즈를 공개했다. 파이어폭스 57은 완전히 개조된 디자인과 모질라의 Rust 프로그래밍 언어로 쓰여진 차세대 CSS 엔진인 스타일로^(Stylo)를 포함해 전체적으로 손본 코드를 기반으로 상당히 빨라졌다고 한다.
SAP가 22개의 취약점을 수정하는 2017년 11월 패치 세트를 릴리즈했다. 세 건은 Hot News이고, High Severity 한 건, 18건의 Moderate risk bugs로 구성되었다. 이번 패치는 2017년 4월에 TREX/BWA에 존재하던 공격자가 시스템에 영향을 줄 수 있는 명령을 실행할 수 있는 매우 높은 등급의 취약점을 수정한 이래 매우 높은 등급^{(Hot News)} 보안 노트를 포함한 첫 패치다.
마이크로소프트^(Microsoft)가 Patch Tuesday 업데이트에서 웹 브라우저의 20개 취약점을 포함해 50개 이상의 취약점을 수정했다.
어도비^(Adobe)가 9개 제품에 걸쳐 80개 취약점을 수정했다. 플래시 플레이어, 포토샵 등의 소프트웨어가 대상이다. (Connect, Acrobat and Reader, DNG Converter, InDesign, Digital Editions, Shockwave Player, Experience Manager)

Detailed News List

Firefox 57 “Quantum”
- ^{[TheHackerNews]} Firefox 57 “Quantum” Released – 2x Faster Web Browser
- ^{[BleepingComputer]} Firefox 57 Brings Better Sandboxing on Linux
SAP November Security Update
- ^{[SecurityWeek]} SAP Patches Critical Issues With November 2017 Security Updates
Patch Tuesday
- ^{[SecurityWeek]} Microsoft Patches 20 Critical Browser Vulnerabilities
Adobe
- ^{[SecurityWeek]} Adobe Patches 80 Flaws Across Nine Products

Privacy

Summaries

애플이 자랑한 페이스아이디^(FaceID)기술이 150달러의 가짜 마스크에 의해 깨진 사건에 대한 기사가 이어지고 있다. 베트남의 보안회사 Bkav의 연구원들이 아이폰의 FaceID 인증을 약 150달러로 만들어낸 가면으로 통과했다. 가면은 2D 프린터와 3D 프린터로 만들어졌고, 손으로 만든 실리콘 코를 붙였다.

Detailed News List

iPhone FaceID
- ^{[InfoSecurityMagazine]} $150 Mask Fools iPhone X Facial Recognition

Mobile/Cloud

Summaries

약 한달 전 원플러스^(OnePlus) 스마트폰이 사용자 몰래 정보를 수집해 중국으로 보내던 것이 드러난데 이어서, 원플러스 스마트폰에서 루트권한의 백도어가 발견되었다. 트위터의 Elliot Anderson이라는 이름의 사용자^{(드라마 Mr.Robot의 주인공)}가 OxygenOS를 사용하는 모든 OnePlus 장비에서 누구나 Root 권한을 얻을 수 있는 취약점을 찾아냈다. 문제가 되는 응용프로그램은 EngineerMode라는 앱으로, 퀄컴이 장비 제조사들이 장치에 모든 하드웨어 부품들을 테스트 할 수 있도록 제공한 진단 앱이다. 이 APK는 모든 OnePlus 장치들에 사전설치된^{(Pre-installed)} 앱이다. 여기엔 OnePlus 2, 3, 3T, 5가 해당한다. 누구나 스마트폰에 물리적으로 접근할 수 있다면, 루트권한을 얻어낼 수 있는 것이다. 그리고 EngineerMod APK를 디컴파일한 트위터 사용자는 특정 비밀번호^(Angela)를 사용해서 열면 부트로더 언락도 필요없이 루트권한에 접근할 수 있음을 찾아냈다.

Detailed News List

OnePlus Phone
- ^{[TheHackerNews]} OnePlus Left A Backdoor That Allows Root Access Without Unlocking Bootloader

Data Breaches/Info Leakages

Summaries

미국의 유명 차량콜 서비스 Fasten이 사용자 신상 및 운전자 정보를 노출했다. 연구원들은 1백만명의 서비스 이용자 정보와 수천명의 기사 정보를 발견했다. 크롬테크^(Kromtech) 보안 센터의 Bob Diachenko에 따르면, 이 프라이버시 문제는 우버와 유사한 Fasten 업체의 잘못 설정^{(misconfigured)}된 아파치 하이브^{(Apache Hive)} 데이터베이스로 인해 발생했다. 노출된 데이터는 이름, 이메일 주소, 전화번호, 사진 링크, IMEI 번호, 자동차 등록증 및 번호판 세부 정보, 운전기사에 대한 메모등이 포함되어 있었다. Fasten은 이 문제에 대해 긴급히 대응해 문제시 된 데이터베이스를 오프라인 상태로 만들었다.
ISIS를 대상으로 한 무슬림 핵티비스트의 공격에 대한 기사가 이어졌다. Di5s3nSi0N이라는 이름의 핵티비스트는 #SilenceTheSwords 라는 작전으로 11월 17일 모든 ISIS에 연관된 웹사이트와 서버들을 공격해서 ISIS를 인터넷에서 모두 없애버리겠다고 말했다. Di5s3nSi0N은 이미 ISIS의 뉴스 사이트를 공격해 2,000여명의 메일링 리스트 주소를 공개한 바 있다.
클라우드 기반의 보안성이 높다고 알려진 허들^(Huddle) 오피스 협업 도구에서 BBC 및 KPMG의 파일을 인증되지 않은 사용자에게 노출시키는 취약점이 발견되었다. 허들은 클라우드 기반 도구로 영국의 내무부^{(the UK Home Office)}, 내각^{(Cabinet Office)}, 세입 및 세관^{(Revenue & Customs)}과 국민보건서비스^{(NHS, National Health Service)} 여러 지부^{(Branches of the NHS)}에서 사용된다. 허들은 해당 취약점을 수정했다고 발표했다. 이 문제는 BBC의 기자가 팀에게 공유된 달력에 접근하고자 로그인 했을때, 달력이 아니라 KPMG의 계정으로 리다이렉트 되면서 발견되었다.
위키리크스^(WikiLeaks)가 Vault 7 도구들의 소스코드를 공개하고 있다. Vault 8이라 불리는 이 시리즈는 유출된 CIA의 해킹 툴 들의 소스코드를 포함하고 있다. 위키리크스는 이번에 Hive라 불리는 CIA가 개발한 익스플로잇 및 악성코드를 원격으로 조종자들이 제어할 수 있는 악성코드 원격제어 플랫폼이다.

Detailed News List

Fasten Exposed 1M customers
- ^{[InfoSecurityMagazine]} Fasten Database Error Exposed One Million Customers
Cyber-war on ISIS
- ^{[InfoSecurityMagazine]} Muslim Hacktivists Declare All-Out Cyber-War on ISIS
Huddle
- ^{[InfoSecurityMagazine]} ‘Highly Secure’ Cloud Tool, Huddle, Exposes Private KPMG, BBC Files
Vault 8
- ^{[InfoSecurityMagazine]} WikiLeaks Releases Source Code for Vault7 Tools

Industrial/Infrastructure/Physical System/HVAC

Summaries

이스라엘 스타트업인 메디게이트^(Medigate)가 온라인에 연결된 의료기기를 보호하기 위한 535만 달러의 종자 기금^{(seed fund)}를 발표했다. CISO들과 보안팀들이 사이버 공격으로부터 네트워크에 연결된 의료장치들을 보호하게 하는 기술 플랫폼 지원은 YL Ventures로부터 이루어지며, Blumberg Capital로부터의 추가 자금이 지원된다.
미국과 영국의 1/5의 헬스케어 기관들이 아직도 Windows XP를 사용하고 있다고 InfoSecurity Magazine이 보도했다. 지난 몇년간 투자를 늘려왔음에도 불구하고 헬스케어 분야의 IT 전문가들은 사이버 위협에 대한 기관의 능력에 대하여 자신감을 보이지 못하고 있다. 1/5이 아직도 Windows XP 기기를 네트워크에서 구동중이며, 1/4이상(26%)은 해당 시스템들을 업데이트 할 수 있는지 혹은 어떻게 하는지 조차 모른다고 답변했다.
지멘스^(Siemens)의 RTU^{(Remote Terminal Unit)} 모듈에서 원격코드실행^{(Remote Code Execution)}이 가능한 심각한 취약점이 발견되었지만, 제품지원이 중단되어서 패치가 제공되지 않는다는 기사가 올라왔다. SEC Consult의 연구자들이 전세계 에너지 및 기타 분야에서 사용되고 있는 SICAM RTU SM-2556 COM 모듈에서 취약점을 발견했다. 지멘스는 제품 지원이 중단되었기 때문에 패치를 제공하지 않는다고 결정을 내렸다. 사용자들은 진단을 위해 설계되었지만 일반 운영에서는 필요하지 않은 취약한 웹 서비스를 비활성화 하는 방법으로 잠재적인 공격을 예방할 수 있다. CVE-2017-12739, CVE-2017-12738, CVE-2017-12737

Detailed News List

Medigate
- ^{[HelpNetSecurity]} Medigate announces $5.35M seed round to protect connected medical devices
Windows XP
- ^{[InfoSecurityMagazine]} One-Fifth of Healthcare Organizations Still Run XP
Siemens
- ^{[SecurityWeek]} Flaw in Siemens RTU Allows Remote Code Execution

Technologies/Technical Documents/Reports

Summaries

전세계의 정부들에 의해 소셜미디어가 조작되고 세계 인터넷 자유를 위협받고 있다는 Freedom on the Net 2017 리포트가 나왔다. 언뜻 무슨 이야긴가 싶은 제목이긴 한데, 미 대선에 영향을 미치기 위해 러시아로부터의 국가적인 개입이 점차 드러나고 있는 점이나, 미 중앙정보국^(CIA)의 공격용 익스플로잇들과 원격제어를 위한 하이브^(Hive) 프로젝트등이 위키리크스^(WikiLeaks)에 의해 계속적으로 폭로되는 상황을 생각해보면 틀린말은 아니라는 것이 수긍이 간다. 그리고 중국, 베트남등 국가차원의 APT 그룹들이 횡행하는 모습들도 리포트에 힘을 실어주는듯 하다.
바로니스^(Varonis)의 연구 결과에 따르면 과반수 이상의 IT 전문가들이 이후 12개월 안에 매우 심각하고 강력한 공격을 겪을 것으로 예상한다고 한다. 바로니스는 영국, 독일, 프랑스, 미국의 500명의 IT 의사결정자를 대상으로 조사했다.
신흥 IT 보안 기술 13종이 소개되었다. 각각은 다음과 같다. ^1.CASB^{(Cloud Access Security Brokers)}, ^2.Endpoint Detection and Response, ^3.Next-Generation Endpoint Security, ^4.Deception, ^5.Threat Intelligence Analysis, ^6.Artificial Intelligence/Machine Learning, ^7.Orchestration, ^8.IoT Security, ^9.ICS Security, ^10.DevSecOps, ^11.SOC-as-aService, ^12.Authentication, ^13.Cloud Security Services.
연구에 따르면 소프트웨어 릴리즈 및 업데이트 빈도가 코드 크기나, 내부제작^(In-house)/외부하청^(offshore)여부 보다 응용프로그램 보안에 더 큰 영향을 준다. 자주 응용프로그램을 릴리즈 할 수록, 더 많은 보안 취약점들이 코드에 생겨날 가능성이 높아진다고 한다. CAST Research Labs에서 최근 1,388개의 Java EE 또는 .Net 어플리케이션을 분석한 결과다. 6700만 룰을 2억7800만 행의 코드에대해 검사했고, 130만개의 약점을 찾아냈다. 애자일 방법론^{(Agile practices)}이 응용프로그램 개발 속도를 향상시키고 개발자의 요구사항^{(requirements)}변화 수용력을 높여 주지만, 또한 보안 위협도 높인다는 것이다.
마이크로소프트^(Microsoft)가 퍼징^(Fuzzing)능력 향상을 위해 신경망^{(Neural Networks)}을 사용한다. 마이크로소프트 연구자들이 퍼징 기술 개선을 위해 심층신경망^{(DNN, Deep Neural Networks)}을 사용하는 작업을 하고 있으며, 첫 테스트에서 기대되는 결과를 보여줬다. 인간의 두뇌를 모델로 한 일련의 알고리즘인 신경망은 패턴을 인식해 분류^(Classify)하거나 군집^(Cluster)을 만드는데 도움이 되기 위해 설계되었다.

Detailed News List

Freedom on the Net 2017
- ^{[HelpNetSecurity]} Governments manipulate social media, threaten global Internet freedom
- ^{[InfoSecurityMagazine]} Governments Undermined Elections in 18 Countries Last Year
Be prepared for attack
- ^{[InfoSecurityMagazine]} IT Pros Expect the Worse, Claim to be ‘Prepared’ for Attack
Emerging IT Security Technologies
- ^{[DarkReading]} Emerging IT Security Technologies: 13 Categories, 26 Vendors
Frequent Software Release
- ^{[DarkReading]} Frequent Software Releases, Updates May Injure App Security
Fuzzing by Neural Networks
- ^{[SecurityWeek]} Microsoft Uses Neural Networks to Improve Fuzzing

Crypto Currencies

Summaries

러시아 개발자가 자신의 유명 가로세로 낱말퍼즐 어플리케이션 Puzzle에 사용자에게 채굴에 사용된다는 알림 없이 암호화폐 채굴 코드를 심었다. 자신의 응용프로그램에 개발자 스스로 채굴 코드를 심는 것이 불법은 아니지만, 사용자들이 자신의 장치들이 채굴에 사용되는 것을 몰랐다는 윤리적 문제가 제기됐다.

Detailed News List

Puzzle app
- ^{[DarkReading]} Russian Developer Snuck Cryptocurrency Mining into Android Apps

Internet of Things

Summaries

시스코^(Cisco) Talos의 연구원 Claudio Bozzato에 의해 Foscam C1 아이피 카메라의 취약점이 발견되었다. 이 카메라는 가장 흔하게 사용되는 아이피 카메라 중 하나로 일반적으로는 보안 목적이나 아이, 애완동물, 집안을 원격으로 관찰하기 위한 목적으로 설치된다. 카메라의 펌웨어 2.52.2.43를 사용하는 경우 취약점을 가지고 있으며, 정보가 유출되거나 원격 코드 실행을 통해 서명되지 않은 펌웨어가 카메라에 업로드 될 수 있는 버그가 존재한다. 카메라 DDNS 클라이언트에 네개의 공격가능한 버퍼오버플로우 취약점이 있으며, HTTP 요청에 대한 응답을 조작해 공격자가 취약점을 공격할 수 있다.
기업들이 물리보안장치로 사물인터넷^{(IoT, Internet of Things)} 장치를 채택하고 있다는 조사 결과가 나왔다. 설문 응답자 대다수는 IoT 기술들을 보안 카메라와 같은 형태로 설치하고 있다고 말했다. 기업들은 사물인터넷 장치들을 운영 프로세스 개선 및 비용 감소를 등의 이유로 채택한다고 말했지만, 가장 중요한 이유는 물리보안을 위해서였다. 그러나 IoT 기기들을 감염시켜 발전해나가는 Mirai같은 경향을 볼 때, 사물인터넷 장치의 보안 위협에 대한 고려가 함께 되어야 한다.

Detailed News List

Foscam C1 IP Cameras
- ^{[HelpNetSecurity]} Critical flaws open Foscam C1 IP cameras to compromise
IoT Adoption
- ^{[DarkReading]} Enterprise Physical Security Drives IoT Adoption