The Hacker News 발췌분


 

Cisco Reissues Patches for Critical Bugs in Jabber Video Conferencing Software (2020-12-10)

• Cisco는 Jabber앱에서 이전에 공개된 4개의 중요한 버그를 완전히 해결하지 못했습니다. 이 취약점이 성공적으로 악용되면 인증된 원격 공격자가 그룹 대화 또는 특정 개인에서 특수 제작된 채팅 메시지를 전송하여 대상 시스템에서 임의의 코드를 실행할 수 있습니다. 발견된 새로운 결함은 현재 지원되는 모든 Cisco Jabber 클라이언트 버전 12.1-12.9에 영향을 미칩니다.

• CVE-2020-26085 : 심각도 9.9 점으로 CEF(Chromium Embedded Framework) 샌드 박스를 우회하여 원격 코드를 실행할 수 있는 제로 클릭 XSS 취약점입니다. 다른 Cisco Jabber 사용자가 보낸 파일을 열도록 설계된 window.CallCppFunction을 악용하여 보호 기능을 우회합니다. 공격자는 악성 ".exe"파일이 포함된 파일 전송을 시작하고 피해자가 파일을 수락하도록 한 다음 실행 파일이 피해자의 컴퓨터에서 실행되도록 합니다. 이 취약점은 사용자 상호 작용이 필요하지 않으며 웜 가능성이 있습니다.

• CVE-2020-27132 : 두 개 이상의 네트워크 엔터티 간의 인스턴트 메시징을 용이하게 하는 데 사용되는 XML 기반 통신 프로토콜인 XMPP 메시지에서 HTML 태그를 적절하게 삭제하지 않기 때문에 악성 URL을 가리키는 이미지 HTML 태그를 삽입하거나 악성 자바 스크립트 코드를 실행하여 무해한 파일 전송 메시지를 조작 할 수 있습니다. 추가적인 보안 조치가 마련되지 않았기 때문에 주입 지점을 사용하여 원격 코드 실행과 NTLM 암호 해시를 훔칠 수 있습니다.

• CVE-2020-27127 : 특정 URL (예: XMPP : //, IM : // 및 TEL : /)을 열도록 운영 체제에 알리는 데 사용되는 프로토콜 처리기와 관련된 명령 삽입 결함입니다. /)는 URL에 공백을 포함하여 공격자가 임의의 명령 줄 플래그를 삽입할 수 있도록 합니다.

•  Jabber 사용자는 취약점을 완화하기 위해 최신 버전의 소프트웨어로 업데이트하는 것이 좋습니다. 또한 조직이 모든 직원이 업데이트를 설치할 때까지 Cisco Jabber를 통해 외부 엔티티와의 통신을 비활성화 할 것을 권장합니다.

•  뉴스보기

 
Amnesia:33 — Critical TCP/IP Flaws Affect Millions of IoT Devices (2020-12-09)
 

• Forescout 연구원들은 IoT 및 임베디드 장치에서 일반적으로 사용되는 4개의 오픈 소스 TCP/IP 프로토콜 스택 (uIP, FNET, picoTCP 및 Nut/Net)에서 33개의 취약점 세트인 "AMNESIA:33"을 발견했습니다. 이 취약점은 네트워크 장비 및 의료 기기에서 산업 제어 시스템에 이르기까지 수백만 개의 장치에 영향을 미칩니다. 가장 심각한 문제 중 세 가지는 아래와 같습니다.

• CVE-2020-24336 : NAT64를 통해 전송된 DNS 응답 패킷의 DNS 레코드를 구문 분석하는 코드는 응답 레코드의 길이 필드를 확인하지 않아 공격자가 메모리를 손상시킬 수 있습니다.

• CVE-2020-24338 : 도메인 이름을 구문 분석하는 기능에는 경계 검사가 없으므로 공격자가 제작된 DNS 패킷으로 메모리를 손상시킬 수 있습니다.

• CVE-2020-25111 : DNS 응답 리소스 레코드의 이름 필드를 처리하는 동안 발생하는 힙 버퍼 오버플로로 인해 공격자가 할당된 버퍼에 임의의 바이트 수를 기록하여 인접 메모리를 손상시킬 수 있습니다.

• 방어조치를 시행하기 전에 조직에 적절한 영향 분석 및 위험 평가를 수행하도록 촉구하는 것 외에도 CISA는 네트워크 노출을 최소화하고, 제어 시스템 네트워크와 방화벽 뒤의 원격 장치를 격리하고, 안전한 원격 액세스를 위해 가상 사설망을 사용할 것을 권장했습니다.

• 뉴스보기

 
Zero-Click Wormable RCE Vulnerability Reported in Microsoft Teams (2020-12-07) 
 

•  Microsoft Teams 데스크톱 앱의 제로 클릭 RCE 버그로 인해 공격자가 특수 제작된 채팅 메시지를 전송하고 대상 시스템을 손상시키는 방식으로 임의의 코드를 실행할 수 있습니다. 이 문제는 Evolution Gaming의 보안 엔지니어인 Oskars Vegeris가 Windows 제조업체에 보고한 후 10월 말에 해결되었습니다. Microsoft는 "사용자의 상호 작용 없이 자동으로 업데이트되는 제품에 대해 CVE를 발행하지 않는 것이 현재 Microsoft의 정책"이라고 언급하면서 이 취약점에 CVE를 할당하지 않았습니다.

• Vegeris는 기술 문서에서 "사용자 상호 작용이 필요하지 않으며, 채팅 메시지를 보고 악용이 실행됩니다."라고 설명했습니다. 그 결과 개인 채팅, 파일, 내부 네트워크, 개인키 및 MS팀 외부의 개인 데이터에 대한 액세스와 같은 최종 사용자의 기밀성과 무결성이 완전히 손실됩니다. 또한 RCE가 크로스 플랫폼이기 때문에 Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) 및 웹 (teams.microsoft.com)용 Microsoft Teams에 영향을 미칩니다. 웜이 가능하여 악성 페이로드가 다른 채널에 자동으로 전파될 수 있습니다.

• Microsoft Teams 사용자는 앱을 최신 버전으로 업데이트하고 채팅창을 통해 전송된 의심스러운 메시지를 클릭하지 마십시오.

• 뉴스보기

KISA보안공지

Adobe 제품군 보안 업데이트 권고 (2020-12-11)
MS 12월 보안 위협에 따른 정기 보안 업데이트 권고 (2020-12-09)
나모 크로스에디터 업로드 취약점 보안 업데이트 권고 (2020-12-09)
 

기타 동향
 
MySQL 서버 노리는 랜섬웨어 캠페인, 플리즈리드미 발견돼 (2020-12-11)

•  MySQL 노리는 대형 랜섬웨어 캠페인 발견됨.

•  데이터를 빼돌리고 원본 지운 상태에서 협박 편지 남겨 둠.

•  따라서 파일레스 공격에 해당됨. 하지만 주요 침투 기법은 단순 브루트포스.

•  뉴스보기

 
오래된 윈도 커널 요소 취약점의 익스플로잇 등장 (2020-12-10)

• 오래된 윈도 커널 요소에 있던 취약점, MS는 “공격 가능성 낮다”고 주장.

• 하지만 같은 취약점을 비교적 어렵지 않게 익스플로잇 하는 방법이 시연됨.

• 오래된 취약점, 잘 알려진 취약점, 공격 가능성 낮다고 치부된 취약점은 고질적 보안 문제.

• 뉴스보기

 
 파이  어아이 뚫어낸 해커들, 모의 해킹 도구 가져갔다 (2020-12-09)

• 해 킹 방어 업체 파이어아이, 고차원적 수준 가진 해커에게 뚫림.

• 공격자들은 파 이어아이의 레드팀 도구들을 훔쳐간 것으로 보임.

• 이 도구가 확산되면 사이버 범죄자들의 공격 효율이 크게 높아질 것.

• 뉴스보기