Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] SAML

Security Newsletters, 2018 Mar 1st, ionCube 악성코드 사이트 감염 外

Posted on 2018-03-01 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • ionCube 악성코드에 의해 WordPress 및 Joomla, CodeIgniter 기반의 웹사이트들이 감염되고 있다. SiteLock의 연구가들이 수백개의 웹사이트가 ionCube인코딩 파일로 위장한 악성코드에 감염된 것을 확인했다. ionCube는 PHP 소프트웨어 보호를 위해 사용되는 인코딩 기법이다. 정상적으로 ionCube로 인코딩 된 파일인 것처럼 위장하고 있지만, 악성 코드를 포함하고 있다. 거기에 덧붙여 Joomla 및 CodeIgniter로 작성된 웹사이트들 또한 영향을 받은것으로 확인되었다. 지금까지 분석된 내용에 따르면, 이 악성 파일의 마지막에 eval 코드를 포함하고 있어 원격에서 코드를 실행할 수 있게 만들어져 있다.

Detailed News List

  • ionCube
    • [SecurityAffairs]
      Hundreds of sites based on WordPress, Joomla and CodeIgniter infected by ionCube Malware
    • [SecurityWeek]
      Fake ionCube Malware Hits Hundreds of Sites
    • [ThreatPost]
      WordPress Users Warned of Malware Masquerading as ionCube Files

 

Exploits/Vulnerabilities

Summaries

  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)
  • SAML 프로토콜 구현 제품들에서 다른 사용자로 로그인 할 수 있는 취약점이 발견되었다. 이번에 발견된 취약점은 로그인 요청에 대한 인증 응답(authenticated response)을 가로채, 그 내용을 변경할 수 있는 취약점이다. 다시 말하자면, 공격자가 특정 사용자로 로그인 할 수 있는 것이다. 공격은 공격자가 사용자이름과 비밀번호가 확인된(verified) 이후에 응답을 조작해서 이루어진다. 사용자의 브라우저에 로그인을 위해 반환되는 메시지를 공격자가 조작하게 되면, 검증 서명값(validating signature)도 바뀌게 된다. 그러나 이 서명값들이 제대로 검증되지 않으면서 다른 사용자로 로그인하는 취약점이 발생하게 된다. 연구자들은 이 취약점이 설정에 따라 다른 결과를 내기 때문에, 언제나 취약한 것은 아니라고 밝혔다. (2월 28일에서 이어짐)

Detailed News List

  • Memcached
    • [ThreatPost]
      Misconfigured Memcached Servers Abused to Amplify DDoS Attacks
    • [SecurityAffairs]
      Experts warn Memcached DDoS attacks could be soon a dangerous threat
    • [HelpNetSecurity]
      Surge in memcached-based reflected DDoS attacks is due to misconfigured servers
    • [TheHackerNews]
      Memcached Servers Abused for Massive Amplification DDoS Attacks
    • [TheRegister]
      Popular cache utility exploited for massive reflected DoS attacks
  • SAML
    • [NakedSecurity]
      Single Sign-On authentication – the bug that lets you logon as someone else
    • [TheRegister]
      XM-Hell strikes single-sign-on systems: Bugs allow miscreants to masquerade as others

 

Data Breaches/Info Leakages

Summaries

  • 잘못 설정된 AWS Bucket에서 또다시 대량의 자료 유출이 발생했다. UpGuard에서 Amazon Web Services(AWS) S3 bucket의 잘못된 설정으로 인한 막대한 양의 데이터 유출을 탐지했다. 이 데이터베이스는 Birst라는 기업에 속한 데이터베이스였다. 노출된 데이터베이스는 50기가의 데이터를 담고 있었다.

Detailed News List

  • AWS Bucket
    • [HackRead]
      Unprotected AWS Bucket Exposes 50.4 GB of Financial Giant’s Data

 

Posted in Security, Security NewsTagged Amplification attack, Information Leakage, ionCube, Malware, SAML, VulnerabilityLeave a comment

Security Newsletters, 2018 Feb 28th, Memcached를 통한 Amplification 공격 外

Posted on 2018-02-28 - 2018-02-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Exploits/Vulnerabilities

Summaries

  • SAML 프로토콜 구현 제품들에서 다른 사용자로 로그인 할 수 있는 취약점이 발견되었다. 이번에 발견된 취약점은 로그인 요청에 대한 인증 응답(authenticated response)을 가로채, 그 내용을 변경할 수 있는 취약점이다. 다시 말하자면, 공격자가 특정 사용자로 로그인 할 수 있는 것이다. 공격은 공격자가 사용자이름과 비밀번호가 확인된(verified) 이후에 응답을 조작해서 이루어진다. 사용자의 브라우저에 로그인을 위해 반환되는 메시지를 공격자가 조작하게 되면, 검증 서명값(validating signature)도 바뀌게 된다. 그러나 이 서명값들이 제대로 검증되지 않으면서 다른 사용자로 로그인하는 취약점이 발생하게 된다. 연구자들은 이 취약점이 설정에 따라 다른 결과를 내기 때문에, 언제나 취약한 것은 아니라고 밝혔다.
  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다.

Detailed News List

  • SAML
    • [DarkReading]
      SAML Flaw Lets Hackers Assume Users’ Identities
    • [SecurityWeek]
      Widespread Vulnerability Found in Single-Sign-On Products
    • [ZDNet]
      SAML protocol bug put single sign-on accounts at risk
  • Memcached
    • [DarkReading]
      Memcached Servers Being Exploited in Huge DDoS Attacks
    • [SecurityWeek]
      Memcached Abused for DDoS Amplification Attacks
    • [ArborNetworks]
      memcached Reflection/Amplification Description and DDoS Attack Mitigation Recommendations

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • NanoCore라는 RAT(Remote Access Trojan, 원격제어트로이) 악성코드 제작자가 33개월의 징역형을 선고받았다. 지난 금요일, 27세의 Taylor Huddleston이 악성코드 제작 및 판매를 통해 컴퓨터 침해를 도움 혐의로 유죄를 선고받았다. 그가 작성한 프로그램은 피해자로부터 민감 데이터를 훔치고, 피해자를 감시하거나, 기타 다른 불법 침입햄위를 수행하는데 사용되었다. (27일에서 이어짐)

Detailed News List

  • NanoCore RAT
    • [TheHackerNews]
      Hacker Who Never Hacked Anyone Gets 33-Month Prison Sentence

 

Mobile/Cloud

Summaries

  • 이스라엘의 보안기업 Cellebrite에서 가장 최신의 iOS 버젼을 사용하는 iPhone 까지도 잠금을 해제할 수 있다고 광고를 하면서, Cellecrite에서 모든 버젼의 iOS를 해킹할 수 있는 방법을 찾은 것이 아닌가 하는 기사들이 나오고있다. 아직까지 Cellebrite에서 공식적으로 발표한 것은 없지만, 포브스(Forbes)는 지난 몇달간 Cellebrite가 iOS 11에 접근할 수 있게 해주는 Advanced Unlocking and Extraction Services라는 새로운 기법을 개발했다고 보도했다. 이 새로운 기법으로 iOS 5부터 iOS 11까지 애플의 어떤 기기던지 보안 장치를 깰 수 있다는 것이다.

Detailed News List

  • iPhone unlock
    • [GrahamCluley]
      Phone-cracking firm advertises that it can unlock any iPhone
    • [NakedSecurity]
      Can the FBI really unlock ANY iPhone in existence?
    • [HackRead]
      Cellebrite’ Hacking Tool Unlocks Any iOS Devices Including iPhone X
    • [ThreatPost]
      Apple Tackles Cellebrite Unlock Claims, Sort Of
    • [SecurityAffairs]
      Israeli mobile forensics firm Cellebrite can unlock every iPhone device on the market
    • [TheHackerNews]
      Phone-Cracking Firm Found a Way to Unlock Any iPhone Model

 

Posted in Security, Security NewsTagged Amplification attack, NanoCore RAT, SAML, VulnerabilityLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.