외국에 위치하고 있는 보안 기업인 ScanSafe는 자사의 블로그를 통해 대규모의 SQL 인젝션 공격이 발생했다는 사실을 밝혔습니다.

블로그에 따르면 이번 주 초부터 발생한 공격으로 월스트리트 저널, 예루살렘 포스트 등을 포함한 약 7천여개의 웹사이트가 침해되었습니다.

공격은 이미 널리 알려져 있는 SQL 인젝션 취약점을 이용한 것으로 취약점이 있는 서버의 데이터베이스에 아래의 스크립트를 삽입하는 방식으로 진행되었습니다

script src=http://ww.robint.us/u.js

이 스크립트는 악성 코드가 포함되어 있는 웹서버에서 PC로 악성 코드를 자동으로 다운로드하도록 하는 것으로 백신이나 보안 패치가 부족한 PC에서 특히 위험합니다.

한편 이번에 발생한 공격은 윈도우 서버 플랫폼 즉, IIS/ASP.NET 기반으로 개발된 웹사이트를 주 공격대상으로 삼고 있었습니다.

월스트리트 저널의 경우에는 adicio.com 이라는 제휴 회사의 침해로 인해 WSJ.com 홈페이지의 특정 페이지에 공격이 나타나는 현상이 발생했습니다.

공격받은 대부분의 웹사이트에서 악성 스크립트는 이미 제거된 상태이지만, 아직까지도 수천개 이상의 사이트들에서는 해결이 되지 않은 상태입니다.

SQL 인젝션 취약점은 소스 코드에서 입/출력되는 값이 적절한지 검증을 거치지 않아 발생하는 것입니다. 따라서, 소스 수준에서 문제점을 해결해야만 이와 같은 공격으로부터 자유로울 수 있습니다.

물론, WAF(웹 애플리케이션 파이워월)와 같은 보안 장비(소프트웨어)를 사용할 수 있지만, 새로운 유형의 공격 형태가 나타날 경우에는 또다시 문제가 될 소지가 많습니다. 따라서, 근본적으로 해결을 해야 합니다.

출처: http://blog.scansafe.com/

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    레바논 계로 알려진 'ldahc'라는 이름을 사용하는 화이트 해커가 Editmax.com 사이트에 SQLi(SQL Injeciton) 취약점이 있다는 사실을 알려왔습니다. 이 취약점을 통해 제조사의 모든 관리자 정보를 추출할 수 있다고 합니다.

    주: EDIMAX는 네트워크 장비를 생산하는 업체로 본사는 대만에 위치하고 있습니다. 이 업체는 대만에 본사가 있으며, 전세계적으로 다양한 사이트를 운영하고 있습니다.

    그는 소프트피디아(Softpedia)로 이메일을 보내어 이러한 사실을 밝혔는데, Edimax 글로벌 사이트의 보안 문제점에 대한 상세한 정보를 밝혔다고 합니다. 이 정보에 따르면 취약한 URL 및 취약한 매개변수, 공격 가능한 코드의 유형과 함께 이를 증명할 수 있는 스크린샷도 포함하고 있습니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근에 IBM에서 X-Force 2009 경향 및 위험 보고서(IBM X-Force 2009 Trend and Risk Report)가 발간되었습니다.

      보고서에 따르면, 2009년도에 발생한 보안 취약점 중에 가장 큰 부분이 바로 웹 애플리케이션에 관련된 부분이며 이러한 취약점은 2009년도 말까지 67%나 되는 많은 수가 여전히 패치되지 않았다고 합니다.

      보고서를 간단히 정리하면 다음과 같습니다.

      1. 발견된 취약점의 수가 약간 감소하였습니다. 2000년도에 비해 보면 매우 높은 수치이지만 2008년도 중반 이후부터 발견되는 취약점의 수가 줄었습니다.

      2. 모든 취약점 가운데 웹 애플리케이션 취약점은 49%를 차지했으며, XSS와 SQL 인젝션 취약점이 주로 발생했습니다.

      3. 웹애플리케이션 취약점 중에서 XSS와 SQL 인젝션 취약점이 가장 많이 발생하였습니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 국제적인 금융 사이트를 초토화시키고 있는 루마니아의 해커가 있습니다. 이름하여 Unu, 이 해커는 거의 일주일에 한건씩 새로운 해킹 사실을 블로그에 공개하고 있습니다. 특히, SQL Injection 취약점을 이용하여 공격합니다.

        공개되는 사이트들도 대부분 인터넷 상거래, 은행, 결제 시스템 등 민감한 부분들입니다. 오늘 소개할 해킹 사이트는 스코틀랜드 그룹의 로얄 은행이 운영하는 RBS WorldPay 결제 사이트입니다.

        RBS WorldPay 사이트는 인터넷 상의 물건을 사고팔때 사용하는 신용카드, 현금 입출금 등을 이용하여 하루에 수백만 건의 금융 거래를 지원하는 사이트입니다.

        하여튼, RBS WorldPay 사이트의 특정 페이지에서 매개변수의 확인 과정없이 바로 진행되는 약점을 이용하여 데이터베이스의 정보를 볼 수 있습니다.

        <그림 #1, #2. 운영 중인 데이터베이스의목록이 유출된 화면>

        <그림 #3. 관리자 webphp의 ID 및 해시된 비밀번호가 노출된 화면>

        <그림 #4. 관리자 admin의 비밀번호가 평문으로 저장되어 노출된 화면>

        <그림 #5. 이메일, 전화번호 등의 정보가 노출된 화면>

        <그림 #6. 빌게이츠도 리셀러도 등록된(!) 화면>

        Unu는 이러한 사항을 RBS 측에 알렸습니다. 하지만, RBS는 이러한 문제가 발생한 사이트는 실제 운영 중이 아닌 테스트용 서버라고 밝혔다고 합니다. 그 이후에는 아래와 같이 접속이 제한되도록 소스가 변경된 상태입니다.


        Unu가 사용하는 공격 방법을 정리하면 다음과 같습니다.

        1. 직접 또는 특정 프로그램을 이용하여 SQL Injection 취약점이 있는 링크를 찾아 낸다.

        2. 링크에서 SQL 구문을 입력하여 데이터베이스의 이름, 그리고 관리자의 ID/비밀번호를 알아낸다.

        3. 그 이후에는 마음먹은 대로 공격을 진행한다.


        요약: 블로그에서 SQL Injection / XSS 공격에 대해 다양한 글을 게시하고 있지만, 실제 상업용 사이트를 운영하는 곳에서는 체감하지 못하는 것으로 보입니다. 국내 사이트들도 외국보다 못하면 못했지, 나을바 없다고 생각합니다만, 

        잘못 해킹하면 감방(!)갈까봐 공격이나 공개하기가 두렵네요. Nick을 하나 두고 그걸로 활동해야 하나 하는 고민입니다.

        자료 출처: http://unu1234567.baywords.com/2009/09/10/rbs-wordpay-hacked-full-database-acces/ 















        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          SQL Injection 취약점을 이용하여 영국 국회 웹사이트의 데이터베이스를 침해하는 사건가 발생했습니다. 이 사건으로 인해 웹사이트에 관련된 비밀번호가 누출되었습니다.

          "Unu"라는 별명을 가진 해커는 카스퍼스키, 비트디펜더, F-Secure, 시만텍 등의 보안 제품 사이트들, 헤럴드 재단(International Herald Tribute), 텔레그래프 등의 신문사, 특히 최근의 Yahoo! Local 등의 보안 취약점을 밝힌 인물입니다.

          Unu에 따르면 취약점은 http://lifepeeragesact.parliament.uk/ 내의 php 스크립트에 SQL Injection 취약점 즉, 매개변수를 제대로 처리하지 못하는 것으로 알려지고 있습니다. 따라서, 이 취약점을 이용하여 해커는 원하는 SQL 명령문을 실행할 수 있습니다.

          웹 사이트는 Debian 4.0 (Etch) 리눅스 운영체제를 사용하고, MySQL 5.0.32 데이터베이스 엔진을 사용합니다. 아래 그림과 같이 SQL 명령문을 통해 사용하는 데이터베이스가 parliament_live라는 것을 알아 냈습니다.
          <#1. 데이터베이스의 이름을 알아내는 화면>

          더욱 큰 문제는 데이터베이스의 레코드 중 한 항목인 비밀번호 부분이 암호화되지 않고 일반 평문으로 저장되었다는 것입니다. 아래 화면과 같이 SQL 명령문을 실행하여 사용자의 비밀번호를 손쉽게 알아낼 수 있습니다.

          <#2. 관리자 비밀번호를 알아내는 화면>

          한 가지 흥미로운 사실은, 관리자 중에는 Alex Fuller에 속해 있는 "fullera"라는 계정이 있었다는 것입니다. 이 ID는 영국 국회 홈페이지의 개발 관리자 역할을 맡고 있습니다. 그리고, "reida", "moss"라는 2 ID는 Mr. Alan Reid(민주당 하원), Mr. Malcolm Moss(보수당 하원)라는 주장이 있습니다만 공식적으로 확인되지는 않았습니다.

          아직 이 취약점을 해결되지 않은 상태이며 분석 결과 아래와 같이 취약점이 존재합니다. 물론, 이 링크 이외에도 다수 취약점이 존재합니다.
          (알림: 취약점 남용을 막기 위해 URL의 뒷부분을 안보이게 처리합니다)
          <#3. 아직 해결되지 않은 것을 분석한 화면>
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            인터넷 업계의 보안의 화두인 SQL Injection 공격이 국내외 사이트를 초토화시키고 있습니다. 일반 회사 웹사이트, 언론, 게임 업체 웹사이트 등 하루에도 수백수천 개의 사이트들이 피해를 당하고 있으며, 가장 중요한 피해는 웹 사이트를 방문하는 사용자가 자기도 모르게 악성 코드를 다운로드하여 실행되어 감염된다는 점입니다.
            SQL Injection 공격은 게시판과 같이 데이터베이스를 사용하는 웹 환경에서 주로 발생합니다. 데이터(글)를 쓰기 위해서는 사용자와 같이 일정한 권한을 가지고 접근해야 하지만, 이러한 취약점을 이용하면 사용자의 로그온 등을 하지 않고도 또는 관리자의 권한을 갖고 있지 않더라도 데이터의 변조가 가능한 공격입니다.

             
            UN(United Nations)이 운영하는 사이트에서는 약 2년 전에 발견된 SQL Injection 취약점이 여전히 남아 있는 것으로 알려져 충격을 주고 있습니다.

            더 충격적인 사실은 반기문 사무총장의 발언이 SQL Injection 공격으로 인해 변조되었다는 주장입니다. 2007년 8월에 반기문 총장이 중동 지역에서 미국과 이스라엘의 조치에 대한 메시지를 발표했는데 SQL Injection 공격으로 메시지가 변경된 적이 있다고 합니다.

            참고로, UN 웹사이트들은 네이버와 같이 하나의 큰 사이트를 어느 부서(가령 보안팀)에서 총괄하여 관리하는 형태가 아닙니다. UN 웹사이트는 수직적인 형태가 아니라 다양한 부문, 각 국가 등이 포함된 수평적인 구조로 구성되어 있으며, 이러한 넓은 형태의 사이트에서는 사소한 보안적 취약점이 나타나더라도 해결하기가 어려우며, 동일한 취약점을 사이트 내의 다른 서버에서도 종종 발견되기도 합니다. 즉, 총괄적으로 관리할 수가 없다는 것입니다.

            이러한 문제점을 해결하기 위해서는 소스 차원에서 검증을 거쳐야 하고, 전문 적인 보안 스캐너 프로그램이나 서비스를 이용하여 웹 사이트의 보안을 점검해야 하지만, 사실상 검사하는데에도 수일 또는 그 이상의 걸리기 때문에 검사 자체도 아주 어렵다고 볼 수 있습니다.

            반기문 총장님한테 "보안팀" 구성하시라고 메일이라도 드리고 싶은 마음이 굴뚝~같습니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              카리브 해에 위치한 푸에르토리코(Puerto Rico) 자치령의 도메인 등록 시스템이 해킹되어 이 DNS를 이용하는 사용자들은 세계 유수의 사이트인 구글, 마이크로소프트, 야후, 코카콜라 등 큰 회사의 도메인을 특정한 사이트로 연결하는 사태가 지난 일요일에 수시간 동안 발생하였습니다. 그 외에도 페이팔, 나이키, 델, 노키아와 같은 유명한 회사 홈페이지도 사이트가 해킹되었다고 알려 주는 가짜 사이트에 연결되도록 유도되었습니다. 하지만, 실제 이들 사이트가 해킹당한 것은 아니며 DNS를 이용하여 가짜 사이트로 유도한 것입니다.

              이 공격을 주도하였다고 주정한 "Peace Crew" 그룹은 푸에르토리코 등록 관리 시스템을 공격하기 위해 SQL 인젝션 공격 기법을 사용했다고 주장하였으며 이를 통해 DNS를 통해 공격할 수 있었고 그만큼 파장을 넓일 수 있다고 언급했습니다.

              이들 사이트에 방문하는 사용자들을 실제 사이트에 접속하는 것이 아니라 가짜 사이트 즉 피싱 사이트에 연결하도록 DNS를 조작했습니다. 이러한 공격를 통해 크래커들은 사용자들에게서 은행과 같은 가짜 사이트에 연결토록 하여 개인 정보를 빼낼 수 있수 있습니다.

              한 편, 푸에르토리코 상위 도메인을 관리하고 있는 가우스 리서치 랩에서는 월요일 오후까지 별다른 언급이 없었다고 합니다. 

              (크래커가 DNS를 우회하도록 공격을 한 화면)


              출처: http://news.cnet.com/8301-1009_3-10228436-83.html

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus


                Web Analytics Blogs Directory