2017-07-20 보안뉴스

1. [기사] 호주 에너지 기업을 가장한 허위 웹메일 청구서 기승
[http://www.news.com.au/technology/online/hacking/origin-energy-scam-emails-new-malware-attack-hits-
australians/news-story/9d5bd312efa909a548fb9e9e3ac00e23]
호주의 에너지 기업인 Origin Energy의 이름으로 그들의 고객들에게 허위로 조작된 청구서를 전자메일을 통해 퍼뜨리고 있는 신종 멀웨어 공격이 발생했다. 해당 메일은 고객들이 사용한 에너지 비용이 어느정도 인지 나타나 있으며, 정확한 세부내용을 보기 위해서는 특정 링크를 클릭하게 유도함으로써 악성코드를 유포하는 방식을 사용하는것으로 알려졌다. 현재 얼마나 많은 사람이 이 사건으로 인해 피해를 입었는지 정확한 수치는 알려지지 않았으나 당사는 그들이 고객들을 위해 할 수 있는 모든 일을 할 것을 약속했다. 당사는 다음과 같은 메일을 받았을 시 단순히 삭제하기 보다는 해당 메일을 리포트해주길 권고하고 있다.

2. [기사] Segway Hoverboard를 이용한 원격 해킹 취약점 주의
[http://thehackernews.com/2017/07/segway-hoverboard-hacking.html]
[http://www.zdnet.com/article/segway-hoverboard-could-be-wirelessly-hacked-say-researchers/]
보안회사 IOActive의 한 보안연구원 Thomas Kilbride는 Segway Hoverboard 제품 중 Segway Ninebot miniPRO에서 원격으로 제품을 제어할 수 있는 취약점을 발견했다. Segway Ninebot miniPRO 제품의 경우 Ninebot 스마트폰 앱을 사용하여 사용자의 제품의 세부사항을 조절할 수 있는데, 해커는 이를 이용하여 사용자를 위험에 처하게 할 수 있다. 해당 취약점에 대한 세부사항은 발견자인 Thomas가 자신의 블로그에 게시하였고, 세부사항에 대한 정리는 위의 URL에서 자세히 확인 할 수 있다.(영문)

3. [기사] 오라클, E-Business Suite의 고위험 임의 다운로드 취약점(CVE-2017-10244)을 포함한 308 건의 버그 패치
[https://www.scmagazine.com/oracle-patches-308-bugs-including-high-risk-arbitrary-download-flaw-in-e-business-suite/article/675972/]
Oracle Corporation 2017년 7월 중요한 패치 업데이트를 발표하여 제품 라인 전체에 걸쳐 308건의 취약점을 수정했다고 발표했다. 패치된 취약점은 Database, Fusion Middleware, Enterprise Manager, E-Business suite, Office Supply Chain, PeopleSoft, Siebel, Oracle Commerce, iLearning, Fusion Applications, Oracle Communications, Oracle Enterprise, Policy Automation, Primavera, Java SE, Oracle and Sun Systems Products Suite, Linux and Virtualization, MySQL Product Suite, Support Tools 등 다양한 제품 분야의 취약점을 다루고 있다. 특히 해결 된 버그 중 하나는 E-Business Suite에서 위험이 높은 임의 문서 다운로드 취약점이다. 공식적으로 CVE-2017-10244로 명명된 이 결함은 Onapsis의 CTO인 Juan Perez-Etchegoyen에 의해 발견되었으며 결함이 악용되면 EBS 시스템에 대한 네트워크 액세스 권한을 가진 공격자가 데이터베이스에 저장된 모든 정보를 검색할 수 있어 심각한 정보 및 데이터 손실이 발생할 수 있다.

4. [기사] 샌프란시스코 TV 및 라디오 방송국 , 6월에 발생한 랜섬웨어 피해 아직까지 복구중
[https://www.bleepingcomputer.com/news/security/radio-and-tv-station-still-recovering-from-ransomware-infection-one-month-later/]
의문스러운 사이버 공격에 의해 피해를 입은 KQED 라디오티비 방송국이 피해를 입은지 한달이 지난 현재까지 완벽히 랜섬웨어의 피해를 복구하지 못했다고 전해진다. 6월 15일에 발생한 피해는 KQED사의 인터넷에 연결된 한대의 컴퓨터에 의해 다른 같은 네트워크의 스테이션까지 전파되었으며 해당 랜섬웨어는 중요한 시스템 데이터를 마비시켰다. KQED는 여전히 해당 랜섬웨어의 피해를 복구하기 위해 노력하고 있으며, KQED CTO인 Dan Mansergh는 그들이 감염된 컴퓨터와 OS를 재설치하기로 결정하였다고 전하고 있다.

5. 이더리움, 3200만 상당의 이더(Ether) 해킹당하다
[https://www.bleepingcomputer.com/news/security/hacker-uses-parity-wallet-vulnerability-to-steal-30-million-worth-of-ethereum/]
[http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0300&key=20170720.99099002621]
현재까지 알려지지 않은 해커가 이더리움 지갑 클라이언트에 있는 취약점을 이용하여 약 153,000 이더(Ether, 약 3200만 달러의 값어치)를 훔친것으로 전해진다. 해당 해킹은 Parity Ethereum 클라이언트의 결함때문에 가능했으며, UTC 19:00 ~ 20:00 경 공격이 이루어 진것으로 확인되고 있다. Parity 개발자들은 그들이 해당 문제점을 해결하기 위해 작업중인것을 발표했으며, 해당 공격 이후 이더의 가격은 약 230 달러에서 200달러로 14%정도 떨어진 것으로 확인된다.

6. [기사] 악성 Windows MSI 파일을 통해 Linux 시스템에 영향을 미치는 Bad Taste 취약성
[https://www.bleepingcomputer.com/news/security/-bad-taste-vulnerability-affects-linux-systems-via-malicious-windows-msi-files/]
독일출신 IT전문가 Nils Dagsson Moskopp 는 리눅스 에서 실행되는 악성 MSI(MicroSoft Installer, 윈도우즈 설치파일포맷)파일에 대해 발표했다. Windows 실행 파일은 Windows 컴퓨터에 손상을주지 않았으므로 이제는 변형 된 MSI 파일을 사용하여 Linux 시스템에서 악성 코드를 실행할 수 있다. 취약점은 GNOME 파일 관리자(GNOME file manager)에서 발생한 것으로 보인다. Moskopp은 악의적인 VBScript를 MSI 파일의 이름 안에 숨길 수 있다는 것을 발견했다. 사용자가 이 악의적인 MSI 파일이 저장된 컴퓨터의 폴더에 액세스하면 그 파일은 자동으로 파일을 구문 분석하여 해당 내용에서 아이콘을 추출하고 파일 탐색기 창에 표시한다. 이 과정에서 thumbnailer 스크립트 또한 파일명을 읽게 되고, 함께 발견된 악성코드를 실행하게 된다. 이 행위는 `/usr/share/thumbnailers` 에 존재하는thumbnailer의 설정값에 의해 이뤄지기에 설정값을 조절하면 위협에 노출되지 않는다.