[MOONSLAB.com]

외국에서 설치형 블로그 형태(CMS)로 널리 사용되고 있는 무료 웹애플리케이션인 Elgg에서 SQL 인젝션 취약점이 발견되어 패치가 발표되었습니다.

버그가 발견된 버전은 1.7.2 버전으로, 새로 패치된 1.7.3 버전으로 즉시 업데이트하는 것이 좋습니다. 그 외, 해결된 사항은 다음과 같습니다.

• captcha 페이지로 부적절하게 접근하는 문제점 해결
• "Edit details"와 "Edit profile icon"에서 자신이 보유한 정보가 보이도록 수정
• get_objects_in_group() 버그 수정

Elgg 최신버전 다운로드: http://elgg.org/getelgg.php?forward=elgg-1.7.3.zip
출처: http://blog.elgg.org/pg/blog/brett/read/142/elgg-173-and-163-security-releases

지난 주말에 외국에서 Mass SQL Injection 공격이 발생해 약 50여만 개의 웹페이지가 감염되는 사건이 발생했습니다. 이에 대한 자료는 아래 링크를 참고하십시오.


그런데 해킹당한 사이트 중에는 우리나라도 있지만, 애플의 아이튠즈(iTunes) 사이트도 피해를 입은 것으로 알려졌습니다.


Preview(프리뷰) 페이지에서 SQL Injection 공격으로 <iframe></iframe> 코드값이 삽입된 것입니다.

실제 아이튠즈 웹사이트의 취약점인지 여부는 파악되지 않았습니다만, 하여튼 문제가 있다고 봐야 할 것입니다.

아! 보안은 IT 대기업에도 힘든 싸움이구나 라는 생각이 듭니다.

감사합니다.

출처: http://www.theregister.co.uk/2010/08/17/apple_sql_attack/

최근 전세계적으로 SQL 인젝션 공격이 대규모로 발생하여 약 50여만 개의 웹사이트가 감염되어 충격을 주고 있습니다. 이 중에는 국내 웹사이트도 포함되어 있으며 약 2만 여개로 파악되고 있습니다. 이에 대한 사항을 정리해 봤습니다.

자동화된 SQL 인젝션 공격은 최초에 SANS에서 파악되어 알려졌으며 자세한 사항은 아래와 같습니다.


공격 코드로 추정되는 로그는 다음과 같습니다.



이 코드를 해독한 결과 다음과 같은 문자열을 찾아 낼 수 있습니다.



두번째 CAST() 에 포함되어 있는 문자열을 해독하면 아래와 같습니다.( 두개가 동일함)

(주: http 대신에 hxxp로 변경)


현재 검색 엔진을 통해 감염된 웹페이지를 찾아 보면 대략 50여만 페이지가 넘습니다.

• 구글: 586,000 건
• 빙 : 22,000 건
  
• 야후: 42,000 여건
  

nemohuildiin.ru 도메인은 중국에서 관리한 것으로 알려져 있으며 이미 방탄서버(bulletproof host)로 알려져 있는 AS4134 에 속해 있습니다. 이 네트워크는 Zeus 본넷의 C&C(Command and Control) 서버가 운영 중인 것으로 알려져 있습니다.

구글의 검색 조건을 보다 자세하게 적용한 결과, AS4134가 조종하는 도메인은 약 3,008개에 이르며, 감염된 웹사이트는 약 20,800 개에 이릅니다. 구글 측에 따르면 현재 12,000 여개의 사이트가 현재에도 운영 중에 있다고 합니다.

이렇게 웹 보안에서 가장 문제가 되는 SQL 인젝션 취약점은 최근에는 봇넷을 확장하는데 널리 이용되는 수단이 되고 있으며, 이 이외에도 바이러스 감염, 악성코드 전파 등도 함께 이뤄집니다.

마지막으로, SQL 인젝션 취약점은 WAF(웹 방화벽, Web Application Firewall)로는 막기 어렵다는 것을 다시 한번 상기시켜 줍니다. 즉, 패턴(Pattern 또는 Signature)을 인식하여 차단하는 방식은 글자 한글자만 바꿔도 새로운 패턴으로 인식하는 한계를 지니고 있습니다.

따라서, 이 문제점을 해결하기 위해서는 웹 소스 상에서 모든 매개변수 및 변수에 대해 안전한 값을 주고받는지 확인하는 Santization 과정을 반드시 수행하도록 소스를 개발 및 수정해야 합니다.

감사합니다.

참고자료: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites

일본의 수퍼마켓에서도 SQL 인젝션 공격으로 인해 소동이 벌어졌습니다. 간단히 정리해 봅니다.

지난 7월, Uny Co., Neo Beat Co.를 포함하는 모두 8개의 온라인 수퍼마켓 사이트에 해커가 침입하여 고객의 정보를 빼가는 사고가 발생했으며, 해커는  SQL 인젝션 취약점을 이용한 것으로 알려졌습니다.

공격은 7월 24일부터 26일까지 진행되었으며, 공격지는 일본과 중국으로 알려졌습니다. 이 사고로 인해 오사카에 사는 12,191명의 고객 정보뿐만 아니라 7개의 수퍼마켓 협력사의 정보까지 빼갔습니다.

Neo Beat 사는 오사카 경찰에 피해 보고서를 보내고, 지난달 말 웹 사이트를 닫았습니다. 그리고, 경찰은 건에 대한 조사를 착수 중인 것으로 알려지고 있습니다.

고객 정보 가운데에는 신용카드 정보가 포함되어 있어 신용카드를 남몰래 사용하거나 시도가 약 100 여건 신고되었습니다.

신용카드사는 부정하게 사용되어 결제된 금액에 대해서 고객에게 청구하지는 않을 방침이라고 하지만, 일부 신용카드 사들은 고객들에게 새로 카드를 발급받기를 권고하고 있습니다.


아직까지도 상업용 사이트에서도 SQL 인젝션 취약점이 제대로 해결되지 않은 것으로 보이며, 국내에서는 더 이상 말하지 않겠습니다!

감사합니다.

출처: http://mdn.mainichi.jp/mdnnews/news/20100814p2g00m0dm002000c.html

아직 국내에서는 연간 얼마나 많은 사이트들이 해킹을 당하는지 정확한 통계 자료가 없습니다. 그러다 보니, 국내 웹사이트 들은 안전하게 관리를 하나 보다 생각할 수도 있겠지만,

컨텐츠 저작툴 중 하나인 TYPO3에서 웹 관련된 취약점이 발견되어 패치가 진행된 상태입니다. 사용 중인 경우에는 최대한 빨리 업그레이드를 진행하시기 바랍니다.

최근 TYPO3 개발자들은 TYPO3에서 XSS, SQL 이젝션, 리디렉션, 코드 삽입 및 실행과 같이 치명적인 문제점을 발견하여 해결했다고 전했습니다.

따라서, 기존 버전을 각각 4.1.14, 4.2.13, 4.3.4, 4.4.1로 업그레이드해야 합니다.

다운로드: http://typo3.org/download/packages/

기술정보: http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012

시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

감사합니다.

최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

http://www.bnm.me.gov.ar

http://www.trabajo.gov.ar

http://www.cedem.gov.ar

http://www.sanmartin.gov.ar

http://www.jusmisiones.gov.ar

http://www.apostoles.gov.ar

http://www.cordoba.gov.ar

http://www.santafecultura.gov.ar

http://www.mocoreta.gov.ar

http://www.lasheras.gov.ar

http://www.dipes.catamarca.gov.ar

http://www2.berisso.gba.gov.ar

(이하 생략)

해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

 

재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

 

공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html

"The Pirate Bay"라는 단어를 아시는 분이라면 비트토런트(BitTorrent)라는 프로그램에 매우 익숙해져 있다고 볼 수 있습니다. ^^;

"The Pirate Bay"는 BitTorrent 파일(시드)을 연동, 추적하는 웹사이트로 최대 최대 규모를 가지고 있습니다. 트래픽 기준으로 알렉사에서 현재 97위를 유지할 정도로 엄청난 사이트입니다.

하여튼, 아르헨티나로 알려진 해커 그룹이 "The Pirate Bay" 웹사이트의 사용자 데이터베이스에 접근하고, 관리자 인터페이스까지도 장악한 것으로 알려졌습니다. 공격을 위해 사용된 취약점은 바로 SQL 인젝션 취약점입니다.

누출된 데이터는 사용자 이름, MD5로 암호화된 비밀번호, 이메일 주소, IP 주소 정보 등이 포함되어 있습니다.

최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.


이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
<경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

감사합니다.

출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp