우키의 보안이야기

  krcert에서 보안공지가 뜬 내역입니다. 제로보드XE로 홈페이지를 구성하여 서비스하는 사이트가 많죠…많은 사람이 쓰다보니  공격대상이 되기 쉽습니다. 이렇게 많이 쓰이는 공개웹게시판에서 발견된 취약점을  보완하지 않으면  해커의 공격에 희생양이 되는 것은 시간 문제라고 할 수 있겠죠?  제로보드XE를 사용하시는 사이트의 관리자님들은  빠른시간내에  취약점을  제거하시기 바랍니다.

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/


▶ 개요
  – 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이
     발견됨[1].
  – 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및
     조속한 패치가 필요함

▶ 영향
  – 원격의 사용자가 제로보드 XE 관리자 권한 획득가능
  – 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며,
     이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음

▶ 해당시스템
  – 제로보드 XE 1.4.0.10 이하 버전

▶ 해결방안
  – 업데이트된 파일만 적용하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드
       받아 압축을 해제하여 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의
      “./config” 디렉토리에 설치
    * communication.controller.php 파일은 운영 중인 XE의 “./modules/communication”
       디렉토리에 설치

  – 업데이트가 적용된 상위 버젼으로 업그레이드하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.zip 파일을 다운로드
       받아 기존에 XE를 운영중인 디렉토리에 설치
     ※ 처음 사용하는 사용자일 경우, “Xpress Engine 사용자 안내서”[3]를 참고하여 설치할
         것을 권고

▶ 사용자 주의사항
   - 사용자들은 제로보드 XE의 공식 공지사항[2]을 주기적으로 확인하여 신규 취약점에 대한
      정보를 숙지하고 이에 따른 조치를 취해야함

▶ 용어정리
   - 제로보드(ZeroBoard) XE: PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
   - XSS(Cross Site Scripting) 취약점 : 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트
      사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점
   - CSRF(Cross-Site Request Forgery) 취약점 : 취약한 웹페이지를 이용하여 권한을 도용하는
      가짜 요청문을 클라이언트의 웹브라우저상에서 실행되도록 유도하는 취약점
   - PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어

▶ 기타 문의사항
   - 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
      [1] http://www.xpressengine.com/18838863
      [2] http://www.xpressengine.com/notice

원문참조: http://www.boannews.com/media/view.asp?idx=20439&kind=0 

  썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

  ‘Java Web Start (JWS)’는 자바 개발자들이 ‘Java Networking Launching Protocol(*.jnlp)’ 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다. 썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)’ 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 ‘Java Deployment Toolkit(JDT)’이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다. 이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.  흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다. JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다. 그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다. 외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.

▶ PDF 파일 오픈시  보안위협

   최근 Adobe Reader, Foxit Reader 등에서 PDF 파일을 열어볼 경우 임의의 코드를 실행시킬 수 있는 보안위협이 발견되었습니다.   이것은  PDF Reader 프로그램의 정상적인 기능을 이용한 것입니다.   향후 악용될 소지가 많으므로 사용자의 주의가 필요합니다.
 
▶ 정상적인 기능이 왜 보안위협이 되는가?
    PDF 문서 규격에서 정의하는 기능을 이용해 특정 실행코드가 실행되는 PDF 문서를 작성할 수 있음. 이 문서를 열어볼 경우 경고창이 뜨며, 확인(OK) 버튼을 클릭할 경우 해당 실행코드가 실행됩니다.   사회적인 이슈가되는 내용의 문서에 악성코드를 포함시켜 이메일이나 웹를 통해 배포할 가능성이 많아 보입니다.
    – PDF Reader의 /Launch /Action 명령어 등을 사용하였으며, Javascript 기능을 해제한 후에도 동작함
    – 경고창에 확인 버튼을 클릭하도록 유도하는 문구를 삽입할 수 있음
 

▶  연관되는 프로그램
  Adobe Reader, Foxit Reader 등 대부분의 PDF Reader 프로그램
    – Adobe Reader의 경우 실행코드 실행 전 경고창이 뜸
    – Foxit Reader의 경우 경고창 없이 실행코드가 실행되었으나, 최근 Foxit Reader 3.2.1.0401로 업데이트된 후에는 경고창이 뜸
    – 기타 PDF Reader들도 해당될 수 있음
 

▶ 사용자 주의사항
 1. 출처가 불분명한 PDF파일은 열어보지 말고 경고창이 뜰경우 주의하세요
  출처가 불분명한 PDF 파일의 경우 열어보는 것을 자제하고, 경고창이 뜰 경우 경고 내용을 파악하는 등의 사용자 주의 필요합니다.  이 보안위협은 PDF의 정상적인 기능을 이용하는 것이므로 최신 업데이트를 설치했다고 해서 사라지는 위협은 아니기 때문입니다.  
 2.  사용하는 PDF Reader의 최신 보안업데이트 설치
  PDF Reader 버전에 따라 경고창없이 바로 실행코드가 실행될 수 있으므로  최신으로 업데이트가 필요합니다.

화면캡춰가 포함된 영문문서: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
아래는 위 영문문서에서 링크시켜둔 PDF오픈시 실행파일이 어떻게 실행되는지 보여주는 동영상입니다.

▶ 취약점 내용
MS Internet Explorer 6, 7 을  사용하는 PC에서 특수하게 조작된 웹페이지에 방문할 경우 CSS/Style object를 처리하는 과정에서  원격코드가 실행되는 취약점이 발견되었습니다.

▶ 대응책
 1) 신뢰할 수 없는 사이트에 방문자제:  
    현재 해당 취약점에 대한 보안업데이트는 발표되지 않았기 때문에  신뢰할만한 사이트만 가세요..^^
 2) IE 8 로의 업그레이드 
 3) 백신의 패턴을 최신으로 유지
 4) IE 6,7 설정에 의해 임시적인 보호 가능
     –> 보안 업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정 
  ※ JavaScript를 사용하지 않도록 설정할 경우 사이트가 정상적으로 동작하지 않을 수 있습니다.
      Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준
      “Active 스크립팅“을 사용 안함으로 설정

▶ 참조 사이트 
  o 한글 : http://www.krcert.or.kr 
           http://www.boannews.com/media/view.asp?idx=18645&kind=0
  o 영문 : http://www.securityfocus.com/bid/37085/info
  o 영문 : http://isc.sans.org/diary.html?storyid=7624

  MBSA 2.1.1 최신버전이 나왔습니다.  매월  MBSA를 이용하여  자체적인 서버 보안감사를 실시하고 있습니다.  하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서  일부 서버를 대상으로 샘플링으로  MBSA 스캐닝을 하고 있는 중이지요..   하지만  보안취약점 점검을  소수의 서버만 한다는 것이 마음에 걸리더군요.. 

  그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다.  MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서  배치작업을 돌리는 것이 가능하더군요… 배치작업을 돌리면  스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다.   사실 분석하는 것보다  스캐닝하는 시간이 대부분을 차지하기 때문에  어려움이 있었습니다.  이것을   배치작업으로 특정 공유폴더에   감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠.. 

▶ MBSA의 설치

1.  일단 최신 MBSA 버전을 다운로드 받습니다.
    (OS버전에 맞는 것을 다운로드합니다 영문으로… 한글버전은 존재하지 않으니까요… )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

2. MBSA를 설치합니다.  배치작업을 편리하게 하기위해서  설치 디렉토리를 단순하게 하는것이 좋습니다.
   예) c:\mbsa2\

▶ MBSA 리포트업로드를 위한 공유폴더 생성

1.  Report 업로드를 위한 공유폴더를 생성합니다.
   예)  \\192.168.168.15\MBSA_Report\

2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)–> 중요
    일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면  정말 곤란한 노릇이지요…

▶ MBSA 리포트업로드를 위한 배치파일 생성
1.  배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
 =====================================================
-> 위 배치파일은  공유폴더에  스캐닝한 컴퓨터이름과 날짜로된  report파일을 업로드하게 해줍니다.
    변수를 잘 몰라서  %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
    세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.

2. 만들어진 배치파일이 잘 작동하는지 확인후에   스케쥴 작업을 걸어줍니다.
   매월 1회씩만 하면 되겠죠?  대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
  1-2일 정도 분석해서  25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠…

3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.

원문참조: http://www.itdaily.kr/news/articleView.html?idxno=19018#

  보안프로그램들에도 여러가지 취약점이 존재합니다.  아래에 소개되는 것은  올해초에 보안USB 취약점이라고 발표되었던 내용입니다.  보안USB뿐만 아니라 보안프로그램 범주에 들어가는 것들은  이런 취약점이 존재할 수 있습니다. 보안프로그램  또는 보안USB를 도입하고자 하는 기업은 반드시 아래의 취약점들이 조치되었는지 확인하는 것이 필요합니다.  

 
▶ 보안USB에서 그동안 발견된 주요 취약점 정리

1. 실행 프로세스 강제 종료 우회 방법
B사 : 에이전트 보호 기능으로 프로세스 정지 또는 서비스 삭제 방지 기능, 안전모드에서의 매체 제어 정상동작 기능, 윈도우 복구를 통한 에이전트 제거 방지 기능, 안전모드에서의 서비스 삭제 방지 기능을 지원한다.
C사 : 자체 보호기능, 프로세스 Kill 방지, 복원 기능으로 프로세스 강제 종료를 통한 자료 유출을 원천 방지한다. 자체 보호기능은 레지스트리 조작, 프로그램 조작 방지 기능으로 사용자의 임의 조작을 차단하며, 프로세스 Kill 방지 기능은 중요 프로세스 숨김, Kill 방지로 강제 종료를 할 수 없다. 만일의 경우 프로세스가 종료되어도 자동 재실행이 된다.

2. 시작프로그램 삭제 우회 방법
서비스 강제 종료 금지 기능 지원

3. 안전모드 부팅 우회 방법
폴더 삭제 또는 변경 금지 기능 지원

4. PC부팅 시간차 우회 방법
드라이브 레벨에서 제어하는 솔루션이기 때문에 PC부팅 시간과 관계없이 매체 차단 구현

5. 안전모드 폴더 삭제 우회 방법
B사 : 안전모드로 부팅후 일반USB로 저장하려 해도 기본적인 차단으로 매체를 제어한다.
C사 : 안전모드로 부팅해도 자체 보호 모듈을 포함하여 모든 기능이 정상 동작하므로 프로그램 폴더 삭제 등을 통해 무력화 시킬 수 없다.

6. 공유폴더 접근 우회 방법
공유를 하더라도 인증없는 상태에서는 암호화 상태이기 때문에 자료 유출을 할 수 없다.

7. 도스 창 우회 방법
도스 명령을 통한 접근 시에도 인증없이는 내용을 볼 수 없다.

8. 특정 소프트웨어(예: 파이널데이타SW)를 통한 불법접근 우회접근 방법
애플리케이션 실행 제어 기능으로 사전에 등록해 우회접근을 원천 차단한다.

9. 패스워드 스니핑 공격 무력화 우회 방법
고려대에서 암호화 검증을 받은 K라이브러리를 통한 완벽 보안을 하고 있다.

10. VM웨어 우회 방법
B사 : 현재까지 납품된 사이트는 VM웨어를 사용하지 않고 있어 이로 인한 문제가 발생한 적이 없으며, 보안 적합성을 받은 모든 제품의 문제로 향후 판매를 대비해 보완 중이다.
C사 : VM웨어에서 일반 USB를 통한 자료 유출이 가능한 취약점이 발견된 건 사실이나 추가로 보완 모듈을 개발 완료하여 테스트를 진행 중이며, 현재 고객사에 적용 예정이다.

이밖에도 공인인증서를 저장하는 경우 보안USB 승인을 받지 않아도 되는 점을 악용한 공인인증서 파일확장자로 변경하여 시도되는 자료 유출과 관련 일반USB에 대해서는 파일확장자 예외없이 쓰기(write)를 커널 드라이버 레벨에서 근본적으로 차단하므로 파일 확장자를 변경해 저장하는 게 불가능하다.

   DNS는 평소엔 그다지 주의깊게 관리 되지않는 기반서비스입니다.  별 신경쓰지않아도 잘 돌아가는 착한 서비스이죠.. 하지만 일단 문제가 생기면  정말 아무 것도 할 수 없게 만드는 정말 중요한 서비스입니다.  과거의  인터넷 대란 사태때에도  DNS 서비스 마비가  직접적인 원인이 되었었죠..

   ERP서비스등은  실시간  복제등 철저한 관리를 받고 있으나  DNS서비스는 사실 더 중요한 서비스임에도  소홀히 여겨지는 경우가 많습니다.  유닉스기반의 DNS를 관리하는 경우 전문지식이 부족하여  방치되는 경우도 있습니다.   현재 DNS서버의 BIND취약점을 공격하는 익스플로잇이 유통되고 있다고 합니다.  DNS 시스템 관리자분들께서는 즉각적인 점검및 업그레이드를 서둘르셔야 할 듯합니다.

================================================================
원문참조: http://www.boannews.com/media/view.asp?idx=17328&kind=1 

  인터넷상에서 가장 많이 이용되고 있는 DNS 서버 BIND의 취약점이 도메인 네임 시스템 서버를 파괴하는 수단으로 이용될 수 있어 결과적으로 인터넷 안정성 전반이 위협받고 있다는 경고가 제기 됐다.  소프트웨어 개발 그룹 인터넷 소프트웨어 컨소시엄(Internet Software Consortium, 이하 ISC)는 지난 28일(현지 시간) 홈페이지를 통해 BIND(Berkeley Internet Name Domain Server) 버전 9를 타겟으로 하는 익스플로이트가 유통되고 있다고 경고했다.  또한 ISC는 이 버그를 ‘고위험’으로 분류하고 관리자들에게 즉시 이를 방어하기 위해 업그레이드 할 것을 촉구했다.

이에 따르면 시스템 관리자들은 신속하게 BIND 서버를 버전 .4.3-P3, 9.5.1-P3, 또는 9.6.1-P1 버전으로 업그레이드해야 한다. 그러나 마스터 서버는 이 취약점에 영향을 받지만 슬레이브 시스템(slave system)은 영향 받지 않는다고 ISC는 덧붙였다. 그러나 이 취약점은 악의적인 업데이트 메시지로 서버 충돌을 야기하는 문제를 가져올 수 있다고 ISC는 지적했다. ISC는 홈페이지를 통해 “특정한 원격 다이내믹 업데이트 메시 수신으로 BIND 서비스 거부(서버 충돌)가 야기되고 있다”며 “마스터 서버 존에 대해 특수하게 고안된 다이내믹 업데이트 메시지가 BIND 9 버전이 종료되게 할 수 있다. 테스트 결과 이 공격 패킷이 마스터 서버에 대해 조직된 것으로 나타났다”고 설명했다.

또한 “이 취약점은 하나 이상의 존을 가진 모든 마스터 서버에 영향을 끼친다”며 특히 “다이내믹 업데이트를 허용하도록 설정되어있는 마스터 서버로 제한된 것이 아니다”라고 강조했다. 인터넷 DNS 서버의 대다수가 BIND를 이용하고 있는 만큼 BIND 취약점은 잠재적으로 심각한 위협이 될 수 있다. 다른 모든 문제 중에서도 특히 웹 서핑이나 이메일 전송을 방해하는 수단으로 이용될 수 있어 우려를 낳고 있다.

  보안패치라고 하면  윈도우 보안패치만 연상하는 경우가 많습니다.  하지만 요즘은  OS 자체의 취약점보다  응용프로그램의 취약점을 노리는 경우가 늘고 있습니다.  어도비의 플래시같은 경우  웹에 있어서 필수불가결한 요소가 될 정도로 많은 사람이 광범위하게 사용하고 있지요..  당연히 해커입장에선  좋은 공격목표가 되겠지요.  플래시외에도  MS 오피스제품들도 자주 공격목표가 되고 있습니다.   최근 어도비 플래시에 새로운 제로데이 취약점이 발견되었다고 합니다.

원문참조:  http://www.boannews.com/media/view.asp?idx=17238&skind=D

Adobe Product Security Incident Response Team 블로그  : http://blogs.adobe.com/psirt/

어도비 시스템즈(Adobe Systems Inc.)는 제품 보안사건 대응팀(Adobe Product Security Incident Response Team) 블로그를 통해 “플래시 에러가 어도비 리더(Adobe Reader) 및 아크로뱃(Acrobat) 9.1.2와 어도비 플래시 플레이어(Adobe Flash Player) 버전 9, 10에 잠재적으로 영향을 끼칠 수 있다”고 짤막하게 언급했다. 또한 “현재 이 문제를 조사하고 있으며 더 많은 정보를 얻는 대로 업데이트 할 것”이라고 덧붙였다.

  이와 관련해 시만텍(Symantec Corp.)의 보안 연구자 패트릭 피츠제럴드(Patrick Fitzgerald)는 지난 22일(현지 시간) 시만텍 보안 블로그를 통해 “시만텍 보안대응 연구자들이 최근 어떤 어도비 아크로뱃 PDF 파일을 조사한 결과 이것이 어도비 플래시 취약점을 익스플로이트하고 이용자의 시스템에 트로잔을 잠입시켜 실행하는 것을 발견했다”고 전했다.  이어 “이 PDF 파일의 작성자는 힙 스프레이 기법을 이용했다”며 “대개 공격자는 이용자를 속여 악성 웹사이트를 방문하게 하거나 이메일을 통해 악성 PDF를 발송한다. 만일 의심 없는 이용자가 이러한 웹사이트를 방문하거나 PDF 파일을 열면 이 익스플로이트로 피해자의 컴퓨터에 맬웨어가 설치될 수 있다”고 설명했다. 또한 이들 악성 PDF 파일은 Trojan.Pidief.G로 탐지된다고 피츠제럴드는 전했다.

US-CERT는 어도비 이용자들에게 어도비 보안대응팀의 블로그를 확인하고 추가적인 정보가 있기 전까지 다음과 같이 대처할 것을 권장했다.

 “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll”,
 “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”  
 –> 파일들의 이름을 변경해 윈도우 플랫폼의 어도비 리더9의 플래시 비활성화.
플래시 플레이어의 비활성화 또는 보안 권장사항을 참조해 플래시 컨텐츠의 선택적 활성화.

원문: http://www.us-cert.gov/current/#adobe_reader_acrobat_and_flash 
US cert의 좀더 자세한 취약성소개글  << Vulnerability Note VU#259425 >>
  Adobe has released a security advisory to address a vulnerability in Adobe Reader and Acrobat 9.1.2 and Flash Player 9 and 10. This vulnerability may allow a remote, unauthenticated attacker to execute arbitrary code or cause a denial-of-service condition.  US-CERT encourages users and administrators to review the security advisory and implement the following workarounds until a fix is available:

  • Disable Flash in Adobe Reader 9 on Windows platforms by renaming the following files: “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll” and “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”.

  • Disable Flash Player or selectively enable Flash content as described in the Securing Your Web Browser Document.
Additional information regarding this vulnerability can be found in Technical Cyber Security Alert TA09-204A.

어딘가에서 보고 적어두었는데 다시 찾으려니 못찾겠네요.. 원문링크를 해야하는데.. ㅠㅠ
커맨드를 통해 간편하게 원격서버에 연결된 터미널세션을 확인하고 로그오프 시킬수있습니다.
물론 관리자 권한이 있을 경우에 그렇게 할 수있습니다.

▶ 원격서버에 연결된 세션확인

C:> query session /server:192.168.100.1

▶ 연결된 세션 disconnet하기 : tsdiscon [세션ID] /server:[서버IP]

C:> tsdiscon 1 /server:192.168.100.1

▶ 연결된 세션 로그오프시키기: logoff [세션ID] /SERVER:[서버IP] /v 
C:> logoff 1 /SERVER:192.168.100.1 /v

원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1