Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Malwares
Summaries
- ionCube 악성코드에 의해 WordPress 및 Joomla, CodeIgniter 기반의 웹사이트들이 감염되고 있다. SiteLock의 연구가들이 수백개의 웹사이트가 ionCube인코딩 파일로 위장한 악성코드에 감염된 것을 확인했다. ionCube는 PHP 소프트웨어 보호를 위해 사용되는 인코딩 기법이다. 정상적으로 ionCube로 인코딩 된 파일인 것처럼 위장하고 있지만, 악성 코드를 포함하고 있다. 거기에 덧붙여 Joomla 및 CodeIgniter로 작성된 웹사이트들 또한 영향을 받은것으로 확인되었다. 지금까지 분석된 내용에 따르면, 이 악성 파일의 마지막에 eval 코드를 포함하고 있어 원격에서 코드를 실행할 수 있게 만들어져 있다.
Detailed News List
- ionCube
Exploits/Vulnerabilities
Summaries
- Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)
- SAML 프로토콜 구현 제품들에서 다른 사용자로 로그인 할 수 있는 취약점이 발견되었다. 이번에 발견된 취약점은 로그인 요청에 대한 인증 응답(authenticated response)을 가로채, 그 내용을 변경할 수 있는 취약점이다. 다시 말하자면, 공격자가 특정 사용자로 로그인 할 수 있는 것이다. 공격은 공격자가 사용자이름과 비밀번호가 확인된(verified) 이후에 응답을 조작해서 이루어진다. 사용자의 브라우저에 로그인을 위해 반환되는 메시지를 공격자가 조작하게 되면, 검증 서명값(validating signature)도 바뀌게 된다. 그러나 이 서명값들이 제대로 검증되지 않으면서 다른 사용자로 로그인하는 취약점이 발생하게 된다. 연구자들은 이 취약점이 설정에 따라 다른 결과를 내기 때문에, 언제나 취약한 것은 아니라고 밝혔다. (2월 28일에서 이어짐)
Detailed News List
- Memcached
- [ThreatPost]
Misconfigured Memcached Servers Abused to Amplify DDoS Attacks - [SecurityAffairs]
Experts warn Memcached DDoS attacks could be soon a dangerous threat - [HelpNetSecurity]
Surge in memcached-based reflected DDoS attacks is due to misconfigured servers - [TheHackerNews]
Memcached Servers Abused for Massive Amplification DDoS Attacks - [TheRegister]
Popular cache utility exploited for massive reflected DoS attacks
- [ThreatPost]
- SAML
Data Breaches/Info Leakages
Summaries
- 잘못 설정된 AWS Bucket에서 또다시 대량의 자료 유출이 발생했다. UpGuard에서 Amazon Web Services(AWS) S3 bucket의 잘못된 설정으로 인한 막대한 양의 데이터 유출을 탐지했다. 이 데이터베이스는 Birst라는 기업에 속한 데이터베이스였다. 노출된 데이터베이스는 50기가의 데이터를 담고 있었다.
Detailed News List
- AWS Bucket