루마니아 해커로 알려져 있는 우누(unu)가 이번에는 인텔의 웹사이트를 해킹했다는 소식을 정리해 알려드립니다.

지난 12월 22일 경, 우누는 SQL 인젝션 취약점을 통해 세계적으로 유명한 반도체 업체인 인텔의 웹사이트를 해킹하였다고 공개하였습니다.

문제점은 인텔 웹페이지 중에서 파트너 채널 프로그램의 Webminar 부분에서 찾아 낸 것으로 알려지고 있습니다.

이전에 공개한 다른 웹사이트와 마찬가지로, 해당 사이트는 비밀번호를 암호화하지 않았으며, 파일을 로드할 수 있는 취약점까지도 있는 것으로 알려지고 있습니다.

아래는 Unu가 공개한 화면들입니다.

<사진 #1. 데이터베이스 이름뿐만 아니라, mysql의 version(), database(), user()를 보여 주는 화면>

<사진 #2. mysql user, password 등의 정보를 보여 주는 화면>

<사진 #3. 서버 관리자의 비밀번호가 암호화되지 않고 평문으로 저장되어 있는 것을 보여주는 화면>

<사진 #4. load_file 기능이 차단되지 않아 악성 코드의 삽입이 가능한 상황을 보여주는 화면>

<사진 #5. 신용카드 등 중요한 금융 정보를 보여주는 화면>


하지만, 재미있는 사실은 지난 2월 달에도 인텔 사이트의 문제점을 unu가 공개한 적이 있다는 것입니다.

그만큼, 대형 사이트에서는 모든 취약점을 찾아내기고 어려울 뿐더러 해결하기는 더욱 어렵다는 사실을 반증하기도 합니다.

감사합니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

    보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.



    하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

    그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.



    그런데, 그런데, 그런데~

    카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


    이에 대한 자세한 사항은 아래 링크를 참고하십시오.


    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      전세계적으로 SQLi(SQL Injection) 공격의 여파로 말들이 많습니다. 며칠 전에는 우리나라의 잉카 인터넷 사이트의 DB가 누출되는 사태가 발생하기도 했습니다. 하지만, 새롭게 또 다른 뉴스가 강타합니다.

      루마니아의 해커인 Unu가 이번에는 유명한 언론사인 월스트리트저널의 홈페이지를 해킹하여 이에 대한 자료를 블로그에 게시했습니다.

      공개한 스크린샷은 다음과 같습니다.

      <사진 1. SQL Injection  취약점을 이용하여 데이터베이스의 이름 및 기타 중요한 정보를 보는 화면>

      <사진 2. 특정계정(ffi2009uk)에는 IP나 비밀번호가 없이도 접근이 가능하도록 허술하게 관리되고 있는 것을 보여 주는 화면>

      <사진 3. 언론사 직원의 인적사항을 보여 주는 화면>

      <사진 4. CEO의 계정 정보를 보여 주는 화면>

      <사진 5. 관리자의 비밀번호를 보는 화면. 비밀번호가 암호화되어 있지 않음>

      출처: http://unu123456.baywords.com/2009/12/02/the-prestigious-wall-street-journal-expose-passwords-in-plaintext-ceo-members/

      사족: 국내에서는 이렇게 보안이 취약한 사이트에 대한 정보를 파악하여 해당 사이트 관계자에게 알려주는 활성화된 커뮤니티가 없다는 점이 무척 우려스럽습니다. 취약한 사이트를 점검하기도 무섭기도(!) 하거니와 알려줘도 오히려 의심(!)을 받는 상황이 될 가능성이 높습니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        시만텍이 운영하는 사이트에서 Blind SQL 인젝션 공격으로 인해 기업상 중요한 기밀 정보를 누출당할 가능성이 높다고 알려지고 있습니다.

        블로그에서 자주 소개한 루마니아 해커인 Unu는 Pangolin과 Sqlmap 프로그램을 이용하여 시만텍 일본 웹사이트의 내부에 있는 데이터베이스를 엿본 것으로 알려져 있습니다. 이 해커는 구매 기록, 제품 키와 같이 일본에서 판매되는 제품 및 고객의 정보가 포함되어 있습니다.

        Unu는 데이터베이스 및 파일 시스템에 대한 모든 권한을 장악했었다고 주장했으며 시만텍은 이를 분석하고 있는 것으로 알려져 있습니다. 시만텍은 취약점이 있는 사이트는 으로 이 사이트에는 극동지역의 고객 정보를 포함하고 있으며, 현재에는 추가적인 보안을 강구하기 위해 잠시 내려진 상태입니다.

        이 웹사이트는 대한민국과 일본에서 판매되는 노턴(Norton) 브랜드의 고객을 지원하는 사이트로 그 외의 지역에 위치한 사용자들에게는 영향을 미치지 않습니다.

        사고의 여파로 인해 대한민국/일본의 고객 지원에 영향을 미치며, 노턴 제품의 안정성이나 사용에 영향을 미치지는 않습니다.

        시만텍은 보안 대책을 강구하기 위해 웹사이트를 개편하고 있으며 가능한 빨리 다시 열 예정이라고 합니다. 항상 하는 말이지만 시만텍은 사고를 아직까지도 조사중에 있으며 현재로서는 알려줄 세부적인 추가사항이 없다고 합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          SQL Injection 취약점을 이용하여 영국 국회 웹사이트의 데이터베이스를 침해하는 사건가 발생했습니다. 이 사건으로 인해 웹사이트에 관련된 비밀번호가 누출되었습니다.

          "Unu"라는 별명을 가진 해커는 카스퍼스키, 비트디펜더, F-Secure, 시만텍 등의 보안 제품 사이트들, 헤럴드 재단(International Herald Tribute), 텔레그래프 등의 신문사, 특히 최근의 Yahoo! Local 등의 보안 취약점을 밝힌 인물입니다.

          Unu에 따르면 취약점은 http://lifepeeragesact.parliament.uk/ 내의 php 스크립트에 SQL Injection 취약점 즉, 매개변수를 제대로 처리하지 못하는 것으로 알려지고 있습니다. 따라서, 이 취약점을 이용하여 해커는 원하는 SQL 명령문을 실행할 수 있습니다.

          웹 사이트는 Debian 4.0 (Etch) 리눅스 운영체제를 사용하고, MySQL 5.0.32 데이터베이스 엔진을 사용합니다. 아래 그림과 같이 SQL 명령문을 통해 사용하는 데이터베이스가 parliament_live라는 것을 알아 냈습니다.
          <#1. 데이터베이스의 이름을 알아내는 화면>

          더욱 큰 문제는 데이터베이스의 레코드 중 한 항목인 비밀번호 부분이 암호화되지 않고 일반 평문으로 저장되었다는 것입니다. 아래 화면과 같이 SQL 명령문을 실행하여 사용자의 비밀번호를 손쉽게 알아낼 수 있습니다.

          <#2. 관리자 비밀번호를 알아내는 화면>

          한 가지 흥미로운 사실은, 관리자 중에는 Alex Fuller에 속해 있는 "fullera"라는 계정이 있었다는 것입니다. 이 ID는 영국 국회 홈페이지의 개발 관리자 역할을 맡고 있습니다. 그리고, "reida", "moss"라는 2 ID는 Mr. Alan Reid(민주당 하원), Mr. Malcolm Moss(보수당 하원)라는 주장이 있습니다만 공식적으로 확인되지는 않았습니다.

          아직 이 취약점을 해결되지 않은 상태이며 분석 결과 아래와 같이 취약점이 존재합니다. 물론, 이 링크 이외에도 다수 취약점이 존재합니다.
          (알림: 취약점 남용을 막기 위해 URL의 뒷부분을 안보이게 처리합니다)
          <#3. 아직 해결되지 않은 것을 분석한 화면>
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory