2017-07-19 보안뉴스

1. [기사] 7백만 달러 해당하는 이더리움 도난당해
[http://www.boannews.com/media/view.asp?idx=55841&page=1&kind=1&search=title&find=%C0%CC%B4%F5%B8%AE%BF%F2]
[http://thehackernews.com/2017/07/ethereum-cryptocurrency-heist.html]
[https://www.bleepingcomputer.com/news/security/hacker-steals-7-million-worth-of-ethereum-from-coindash-platform/]
가상화폐 거래 플랫폼인 CoinDash가 해커의 공격을 받아 7백만 달러 상당의 이더리움이 도난당했다. 공격이 일어나기까지 단지 3 분이 걸렸으며 '간단한 트릭'을 이용하였다. CoinDash가 투자자들에게 '코인을 구입하려면 특정 가상 지갑 주소로 이더리움을 보내면 된다'고 안내했는데, 해커가 그 이더리움 지갑 주소를 가짜 주소로 바꿔 코인을 탈취한 것으로 밝혀졌다. CoinDash는 “해킹 피해가 발생했지만 우리의 프로젝트는 계속 진행될 것이며, 모든 투자에 책임을 지고 공식 주소와 가짜 주소로 이더리움을 보낸 투자자들에게 CDT(코인대시 토큰)을 보상하겠다”고 밝혔다.

2. [기사] 원격 해킹에 여전히 취약한 7만개 이상의 Memcached 서버
[http://thehackernews.com/2017/07/memcached-vulnerabilities.html]
지난해 시스코의 Talos 인텔리전스 및 리서치 그룹은 페이스북, 트위터, 유튜브 등의 주요 웹 사이트를 해커들에게 공개한 Memcached의 3가지 중요한 원격 코드 실행(RCE) 취약점을 발견했다. Memcached 개발자는 3가지 중요한 RCE 취약점 (CVE-2016-8704, CVE-2016-8705 및 CVE-2016-8706)에 대한 패치를 출시한지 약 8개월이 지났지만 수만대의 서버가 여전히 취약하여 공격자가 중요한 데이터를 원격으로 도용하고 있다. Talos의 연구원은 Memcached 응용 프로그램의 취약한 버전을 아직 실행중인 서버 수를 알아보기 위해 2월 말과 7월에 각각 두 차례 스캐닝을 실시했다. 그 결과 5개월간 패치된 시스템의 비율은 별반 차이가 없는 것으로 드러났다.

3. [기사] 인터넷 장치의 주요 제조업체가 사용하는 오픈 소스 소프트웨어 개발 라이브러리에서 원격으로 악용될 수있는 취약점(CVE-2017-9765)을 발견
[http://thehackernews.com/2017/07/gsoap-iot-device-hacking.html]
[https://www.infosecurity-magazine.com/news/devils-ivy-opensource-flaw/]
인터넷 장치 주요 제조업체가 사용하는 오픈 소스 소프트웨어 개발 라이브러리에서 원격으로 악용될 수있는 취약성을 발견했다. IoT 중심 보안 회사 Senrio의 연구원이 발견한 취약점 (CVE-2017-9765)은 XML개발을 위한 고급 C/C ++ 자동 코딩 도구인 gSOAP 툴킷 (Simple Object Access Protocol)이라는 소프트웨어 개발 라이브러리에 있다. "Devil 's Ivy"라 불리는 스택 버퍼 오버 플로우 취약점은 원격 공격자가 SOAP WebServices 데몬을 크래시 할 수 있게하여 취약한 장치에서 임의의 코드를 실행할 수 있다.

4. [기사] NAS 장치에 백도어를 배포하는 데 사용되는 SambaCry 취약점(CVE-2017-7494)
[https://www.bleepingcomputer.com/news/security/sambacry-vulnerability-used-to-deploy-backdoors-on-nas-devices/]
[http://www.securityweek.com/malware-targets-nas-devices-sambacry-exploit?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[http://blog.trendmicro.com/trendlabs-security-intelligence/linux-users-urged-update-new-threat-exploits-sambacry/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29]
Samba 파일 공유 서버의 이전 버전을 실행하는 Linux 장치에 SambaCry 취약점을 사용한 공격이 시도되고 있다. Trend Micro의 전문가에 따르면 대부분의 공격은 NAS (Network Attached Storage) 어플라이언스를 대상으로하며 일부는 Samba 서버와 함께 다양한 운영 체제간의 파일 공유 상호 운용성을 제공한다고 한다. 연구원 SHELLBIND에 의해 별명을 붙여진 악성 코드는 2017 년 5 월 말에 공개 된 SambaCry (또는 EternalRed)라는 취약점을 이용한다. 이 취약점은 악의적인 행위자가 조작한 라이브러리를 쓰기가 가능한 공유에 업로드한 뒤, 서버가 이를 로드하여 실행하게 함으로써 공격한다. 이 취약점 (CVE-2017-7494)은 3.5.0 버전 이후 릴리스된 모든 Samba 소프트웨어에 영향을 준다.

5. [기사] 주요 사이버 공격, 세계 경제에 530 억 달러의 손실을 초래할 수 있다
[https://www.welivesecurity.com/2017/07/18/major-cyberattack-cost-global-economy-53-billion/]
런던의 로이드(Lloyd's)는 심각한 사이버 공격으로 세계 경제가 엄청난 자연 재해만큼 희생 될 수 있다고 보도했다. 가디언에 따르면, 치명적인 사이버 공격으로 인한 평균 손실은 약 530억 달러로 추산된다. 그러나 보험사는 사이버 공격의 복잡성과 사용 가능한 데이터의 부족으로 인해 특정 추정치를 제시할 수 없지만 최악의 경우 최고 1,210 억 달러에 이르는 손실을 겪을 것으로 보인다고 밝혔다. 공격대상이 되기 쉬운 산업은 금융 분야이며, 그 다음으로 소프트웨어와 기술, 그리고 의료사업이 뒤 따른다고 로이드는 발표했다. 공격에 따른 재정적 손실에 대비하기 위해, 많은 정부와 기업들이 보험에 가입하는 것을 추천하고 있다.

6. [기사] SGA솔루션즈, APT 보안 기업 '파이어아이'와 총판 계약
[http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=031&aid=0000418016&sid1=001]
이번 계약을 통해 SGA솔루션즈는 파이어아이의 차세대 엔드포인트 보안 제품 '파이어아이 HX'를 공급한다. 파이어아이 HX는 엔드포인트 위협 방어(EDR) 솔루션으로, 알려진 악성코드만 탐지하는 전통적인 백신과 달리 위협 인텔리전스를 엔드포인트까지 확장해 발생가능한 보안 사고를 사전에 탐지한다. 또 침해 흔적을 찾아내 사후 대응까지 지원한다. 추가적으로 파이어아이 HX는 '파이어아이 샌드박스'라고 불리는 네트워크 기반 기술과 글로벌 침해대응 조직 '맨디언트'의 침해 탐지·대응 역량을 결합했다.

7. [기사] 최근 윈도우 버전을 공격 대상으로 한 EternalSynergy 기반의 익스플로잇
[http://www.securityweek.com/eternalsynergy-based-exploit-targets-recent-windows-versions?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
보안 연구원은 Windows 8 이후 버전의 Windows를 손상시킬 수있는 EternalSynergy 기반의 취약점을 발견했다.한 보안 연구원이 Windows 8보다 새로운 Windows OS를 손상시킬 수 있는 EternalSynergy 기반 exploit을 발견해냈다. 해당 exploit은 4월에 다른 여러가지 해킹 툴과 함께 공개되었으며, 이는 마이크로 소프트가 그 해킹툴 패치를 공개하고 1개월 뒤인 시점이었다. 5월, 한 보안 연구가는 EternalSynergy와 6개의 다른 NSA과 관련된 해킹툴(EternalBlue, EternalChampion, EternalRomance, DoublePulsar, Architouch, and Smbtouch)을 EternalRocks라는 네트워크 웜(worm)안에 포함하였고, 그 툴들은 몇 주동안 악용을 방지하기 위해 사용되었다. 이 exploit은 지원되지 않는 OS 버전에서 충돌이 예상되지만, 보안 전문가 Worawit Wang은 Windows XP와 새로운버전의 OS를 타겟으로한(Windows 10 제외) 툴을 개발해냈다. 따라서 해당 사용자는 가능한 빨리 업데이트 하는 것을 권고한다.