외국에서 설치형 블로그 형태(CMS)로 널리 사용되고 있는 무료 웹애플리케이션인 Elgg에서 SQL 인젝션 취약점이 발견되어 패치가 발표되었습니다.

버그가 발견된 버전은 1.7.2 버전으로, 새로 패치된 1.7.3 버전으로 즉시 업데이트하는 것이 좋습니다. 그 외, 해결된 사항은 다음과 같습니다.

  • captcha 페이지로 부적절하게 접근하는 문제점 해결
  • "Edit details"와 "Edit profile icon"에서 자신이 보유한 정보가 보이도록 수정
  • get_objects_in_group() 버그 수정

Elgg 최신버전 다운로드: http://elgg.org/getelgg.php?forward=elgg-1.7.3.zip
출처: http://blog.elgg.org/pg/blog/brett/read/142/elgg-173-and-163-security-releases


저작자 표시
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    CERIAS(The Center for Education and Research in Information Assurance and Security)에서는 컴퓨터 및 통신 인프라에 보호를 위해 매우 중요하게 여겨지는 보안 분야에 대한 연구 및 교육을 담당하는 기관으로 어느 한 국가에 소속되어 있다기 보다는 전세계적으로 교류하고 있으며 예를 들면, 침입 탐지, 네트워크 방어와 같이 보안 분야 뿐만 아니라 윤리, 법적, 교육, 통신, 언어, 경제 분야까지 활약하고 있다.

    최근 CERIAS에서는 동영상 자료를 공개했는데, 이 자료에서는 기업이나 조직 내에서 내부자의 범행을 찾아내는 방법에 대해 설명하고 있다.
     

    세미나 동영상은 모두 6부분으로 나눠져 있으며 아래 링크를 통해 볼 수 있다.

    http://www.youtube.com/view_play_list?p=E9F7F4CF28888D53


    참고로, 과거년도에 발표한 자료는 아래 링크를 참고한다.

    The CERIAS Security Seminars 2004
    The CERIAS Security Seminars 2005
    The CERIAS Security Seminars 2006
    The CERIAS Security Seminars 2007
    The CERIAS Security Seminars 2008
    The CERIAS Security Seminars 2009

    출처: The CERIAS Security Seminars 2010

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 국제적인 금융 사이트를 초토화시키고 있는 루마니아의 해커가 있습니다. 이름하여 Unu, 이 해커는 거의 일주일에 한건씩 새로운 해킹 사실을 블로그에 공개하고 있습니다. 특히, SQL Injection 취약점을 이용하여 공격합니다.

      공개되는 사이트들도 대부분 인터넷 상거래, 은행, 결제 시스템 등 민감한 부분들입니다. 오늘 소개할 해킹 사이트는 스코틀랜드 그룹의 로얄 은행이 운영하는 RBS WorldPay 결제 사이트입니다.

      RBS WorldPay 사이트는 인터넷 상의 물건을 사고팔때 사용하는 신용카드, 현금 입출금 등을 이용하여 하루에 수백만 건의 금융 거래를 지원하는 사이트입니다.

      하여튼, RBS WorldPay 사이트의 특정 페이지에서 매개변수의 확인 과정없이 바로 진행되는 약점을 이용하여 데이터베이스의 정보를 볼 수 있습니다.

      <그림 #1, #2. 운영 중인 데이터베이스의목록이 유출된 화면>

      <그림 #3. 관리자 webphp의 ID 및 해시된 비밀번호가 노출된 화면>

      <그림 #4. 관리자 admin의 비밀번호가 평문으로 저장되어 노출된 화면>

      <그림 #5. 이메일, 전화번호 등의 정보가 노출된 화면>

      <그림 #6. 빌게이츠도 리셀러도 등록된(!) 화면>

      Unu는 이러한 사항을 RBS 측에 알렸습니다. 하지만, RBS는 이러한 문제가 발생한 사이트는 실제 운영 중이 아닌 테스트용 서버라고 밝혔다고 합니다. 그 이후에는 아래와 같이 접속이 제한되도록 소스가 변경된 상태입니다.


      Unu가 사용하는 공격 방법을 정리하면 다음과 같습니다.

      1. 직접 또는 특정 프로그램을 이용하여 SQL Injection 취약점이 있는 링크를 찾아 낸다.

      2. 링크에서 SQL 구문을 입력하여 데이터베이스의 이름, 그리고 관리자의 ID/비밀번호를 알아낸다.

      3. 그 이후에는 마음먹은 대로 공격을 진행한다.


      요약: 블로그에서 SQL Injection / XSS 공격에 대해 다양한 글을 게시하고 있지만, 실제 상업용 사이트를 운영하는 곳에서는 체감하지 못하는 것으로 보입니다. 국내 사이트들도 외국보다 못하면 못했지, 나을바 없다고 생각합니다만, 

      잘못 해킹하면 감방(!)갈까봐 공격이나 공개하기가 두렵네요. Nick을 하나 두고 그걸로 활동해야 하나 하는 고민입니다.

      자료 출처: http://unu1234567.baywords.com/2009/09/10/rbs-wordpay-hacked-full-database-acces/ 















      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        요즘에는 매일 웹 사이트의 문제점이나 사고 사례에 대한 글만 포스팅하는 것 같습니다. 그만큼 최근의 사고가 웹에 관련된 것이 많으며 그 중에서도 SQL Injection 공격이 대세로 보입니다.

        오늘 소개할 내용은 미국의 특정한 사이트에서 SQL Injection 취약점으로 인해 카풀을 통해 출퇴근하는 직원들의 개인정보가 누출된 뉴스를 소개합니다.

        카풀로 통근할 수 있도록 도와주는 웹사이트(https://www.ridematch.info)의 프로그래밍 오류로 인해 남부 캘리포니아에 위치한 수백명의 직원의 개인 정보가 누출되는 사고가 발생했으며, 적어도 하나 이상의 국방 관련 사이트가 포함된 것으로 알려졌습니다.

        버그는 지난 달 말에 이미 발견된 것으로 해커는 개인의 이름, 집주소, 전화번호, 통근 횟수 등의 다양한 개인정보를 취득할 수 있었습니다. 이 글을 쓰는 시점에도 SQL Injection 취약점이 여전히 존재하고 있으며, 특히 개발자에게 이러한 문제점을 알린 2주가 지나도 조치가 이뤄지지 않았습니다.

        웹사이트는 남부 캘리포니아에 있는 5개의 지방 정부가 함께 참여하여 개발하였으며 사용자들은 회사 및 집 주소와 출퇴근 시간을 입력하였습니다. 또한 웹사이트에서는 카풀을 이용할 수 있도록 다른 사람들에게 적절한 위치와 시간대를 알려 주고 있습니다. 

        또한, 적어도 하나의 국방 관련 교육 기관이 이 웹사이트를 이용한 것으로 알려졌습니다. 하지만, 보안 상의 이유로 공개하고 있지는 않습니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 인터넷으로부터 공격받은 대부분의 유형은 봇넷과 SQL 인젝션과 같은 프로그램 및 소스 상의 취약점이 대부분입니다.

          해커들의 경연장이라고 할 수 있는 블랙햇 및 데프콘 컨퍼런스가 화려한 도시 라스 베가스에서 다음 주에 개최됩니다.

          크리스 게이츠와 마리오 셀바오스는 오라클 데이터베이스를 공격할 수 있는 방법론과 도구를 발표할 예정이라고 웹 사이트에서 밝히고 있습니다.

          데프콘 웹사이트: https://www.defcon.org/html/defcon-17/dc-17-speakers.html#Gates

          발표할 도구는 오라클 시스템이 취약한지 여부를 진단하는데 도움을 줄 수 있다고 하며, 현재까지 이러한 취약점을 무료로 진단하는 도구는 없었다고 합니다.

          크리스 게이츠는 오라클에 대한 새로운 공격 기법을 제시하는 경우가 아니기 때문에 발표 자료를 오라클 관계자와 연락하지는 않았다고 합니다. 즉, 기존에 발표된 보안 패치를 적용하게 되면 이러한 취약점이 사라지게 된다고 합니다.


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            안티 바이러스와 같은 보안 제품이 아니지만 정확히는 보안 제품인 척하면서 컴퓨터를 망가뜨리거나 돈을 내야만 정상적으로 동작하게 하는 프로그램을 보통 허위 보안 프로그램(Rogue Security Program)이라고 합니다.

            가장 대표적인 예로는 Antivirus 2009가 있으며, 최근에는 맥 운영체제에서 동작하는 가짜 보안 제품이 인터넷 상에서 유포되고 있다고 합니다.

            외국 보안 회사로 알려져 있는 선벨트(Sunbelt) 사의 알렉스 에켈베리에 따르면 '맥가드(MacGuard)'라고 하는 제품을 광고하는 웹사이트를 발견했다고 합니다.

            http://www.macguard.net

            이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.

            아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.

            사용자 삽입 이미지

            이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.

            만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              맥아피 사는 자사에서 판매하고 있는 보안 제품을 손쉽게 제거할 수 있는 도구를 제공합니다.

              이 번에는 토탈 프로텍션과 같은 새로운 제품까지 총 망라하는 설치 제거 전문 프로그램 MCPR(McAfee Consumer Products Removal tool)을 출시합니다.

              다음과 같은 제품을 삭제할 수 있습니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                사용자 삽입 이미지
                일반적으로 맥 OS는 매우 안전하다고 소문나 있으며, 특히 바이러스와 같은 악성 프로그램에 강하다고 알려져 있다. 하지만, 최근에는 맥 OS가 아닌 응용 프로그램을 이용하여 공격하는 행태가 소개되어 논란이 된 적이 있다.

                최근 매킨토시 컴퓨터의 보안 소프트웨어를 개발하는 SecureMac 의 전문가는 MAC OS X 10.4(일명 타이거)와 10.5(일명 레오파드)에서 활동이 가능한 트로이목마를 발견했다고 한다.

                이 트로이 목마는 애플 원격 데스크탑 에이전트(Apple Remote Desktop Agent, ARDAgent)의 보안 취약점을 이용하는 것으로 공격이 성공하게 되면 매킨토시에서 직접 명령어를 내린 것과 마찬가지로 다양한 명령을 전송할 수 있게 된다. 따라서, 크래커가 매킨토시를 장악하게 되면 사용자의 사진 파일을 누출하거나, 모든 파일을 삭제하거나, 심지어 비밀번호까지도 바꿀 수 있게 된다.

                SecureMac은 이 취약점을 "매우 심각하다고" 분류하고 있으며 가급적 방화벽의 포트를 열거나 시스템 로그 기록을 사용하지 않는지 조심스럽게 다뤄야 한다고 밝혔다.

                다행히도 매킨토시 사용자는 바이러스를 포함하고 있는 프로그램을 다운로드하여 실행하는 경우에만 감염이 된다고 하니 파일을 다운로드할 때 한번 더 조심할 필요가 있다.

                악성 프로그램은 AppleScript 또는 번들 프로그램을 이용하여 컴파일하여 실행파일로 만든 것으로, ScureMac의 Nicholas Raba에 따르면 트로이 목마는 원격 데스크탑을 이용하므로 매킨토시 환경에서 이 부분을 사용하지 않게 ARDAgent를 중지시키거나 파일을 아예 제거하는 것이 좋다고 한다.

                SecureMac과 Intego Security는 이미 자사의 안티 바이러스 소프트웨어에 이 새로운 트로이 목마를 진단하여 처리할 수 있는 업데이트를 제공하고 있다.

                AppleScript.THT 트로이 목마 정보: http://www.securemac.com/applescript-tht-trojan-horse.php

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  가면 갈수록 치열해지는 데스크탑 보안 시장에서는 이제 엔드포인트라고 하는 다각적인 보안 시스템을 제공하는 형태로까지 발전하고 있다. 바이러스와 같은 악성 프로그램의 예방, 진단 및 치료뿐만 아니라 안티 스파이웨어, 호스트 침입 방지, 네트워크 액세스 제어까지 회사 네트워크에서 필요로 하는 보안 기능을 충분히 충족시키고 있는데, 이러한 제품으로는 마이크로소프트의 포어프론트 제품군이 단연 돋보인다.  

                  시만텍에서는 엔드포인트 매니지먼트 슈트(Endpoint Management Suite) 제품군을 출시하면서 기본 기능에 충실하면서 디스크 암호화와 외장형 미디어의 보안 등 데이터를 보다 안전하게 보호하는 기술을 추가하였다.

                  또한, 회사 입장에서는 모든 보안 솔루션을 통합적인 관리 체계로 구축하길 원하고 있다.

                  시만텍 엔드포인트 관리 슈트 1.0 제품에서는 특히 다음과 같은 기능이 추가되었다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    올해 개최되는 중국 베이징 올림픽을 주제로 하는 새로운 스톰 웜이 전파되고 있다고 전했다.

                    스톰 웜은 지진의 여파로 인해 베이징 올림픽이 취소되거나 연기될 수 있다는 뉴스를 다룬 이메일을 이용하고 있다.

                    이메일 본문에는 이러한 추측을 가능케하는 정보를 담고 있다고 알려 주고 있으며, 실제로는 트로이 목마를 포함하고 있는 beijing.exe를 다운로드하게 된다.

                    보안 기업인 시만텍의 Vikram Tharku는 이메일에 포함된 링크를 클릭하지 말라고 충고하고 있다. Peacomm [Storm] 작성자는 중국에서 벌어지는 행사를 미끼로 이용하여 사용자들을 유혹하고 있다.

                    또한, 미국 컴퓨터 응급 팀(USERT)에서도 이러한 공격에 대해 경고했으며, 감지하기 전에 이미 전세계적으로 널리 전파되어 피싱 공격에 이용되고 있다고 밝혔다.

                    스톰 웜은 감염되기 쉬운 악성 프로그램 중의 하나로 악명이 널리 알려져 있다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus