블로그 : NCHOVY 인터넷 스톰 센터

윈도우 LNK 취약점 경보

Tue, 20 Jul 2010 04:17:25 +0900

며칠 전 VirusBlokAda 사가 SCADA 시스템에 감염된 악성 코드의 조사 중에 발견한 LNK 취약점 (CVE-2010-2568)으로 인해 마이크로소프트에서 보안권고문 2286198을 발표했고, SANS에서는 위협 단계를 상향 조정했습니다. 일반적으로 USB 매체를 이용하는 바이러스는 autorun.inf를 이용하고 있는데, 이번에 발견된 Trojan-Spy.0485와 Malware-Cryptor.Win32.Inject.gen.2는 LNK를 이용하여 자동 실행을 하고 있었다고 합니다.

완전히 패치된 윈도우 7까지 모든 버전의 윈도우 운영체제에서 조작된 LNK를 만들어놓고 윈도우 탐색기로 해당 파일이 위치한 디렉터리를 열기만 하면 바로 가기가 자동으로 실행됩니다.

Ivanlef0u의 PoC: Microsoft Windows Automatic LNK Shortcut File Code Execution

지금 이 취약점이 심각하게 받아들여지는 이유는 LNK의 위치에 상관없이 자동 실행이 가능하기 때문입니다. USB나 CD 뿐 아니라 SMB로 공유된 디렉터리를 열어도 자동 실행이 되면서 감염될 수 있기 때문에 내부 네트워크에 대한 악성 코드 전파가 쉽게 이루어질 수 있습니다. 윈도우 XP SP2 이하 버전에 대한 지원이 종료되었다는 점도 고려한다면 Conficker 웜 때와 같은 심각한 상황이 다시 발생할 수도 있습니다.

보안 권고문에서 제시하고 있는 임시 대응 방안은 다음과 같습니다:

바로 가기 아이콘을 표시하지 않도록 레지스트리 설정 변경HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 키를 찾아서 기본값으로 설정되어 있는 문자열을 백업해놓고 값을 삭제합니다. 이후 explorer.exe 프로세스를 죽이고 재시작하거나 컴퓨터를 재시작합니다. 레지스트리 편집은 반드시 주의를 기울여야 합니다.
WebClient 서비스 비활성화
services.msc를 실행하여 서비스 제어판을 열고 WebClient 서비스를 중지시킨 후 속성을 편집해서 시작 유형을 "사용 안 함"으로 변경하고 적용합니다. WebDAV를 사용하는 서비스들이 정상적으로 동작할 수 없게 됩니다.
자동실행 비활성화
Windows에서 자동 실행 기능을 비활성화하는 방법 문서를 참고하시기 바랍니다. 주로 사용되는 감염 경로를 차단할 수 있습니다.

관련 링크 목록

관련된 소식이 나오는대로 계속 전해드리겠습니다.

오라클 2010년 7월 패치 발표

Thu, 15 Jul 2010 13:38:21 +0900

분기별로 발표되는 오라클 취약점이 공개되었습니다. 원문은 Oracle Critical Patch Update Advisory - July 2010입니다. 다음 공개 예정일은 10월 12일입니다. CVE 번호 뒤에 붙어있는 숫자는 영향을 받는 가장 최신 버전입니다.

오라클 데이터베이스 서버

CVE-2010-0911 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
Listener 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0903 (9.2.0.8, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
Net Foundation Layer 취약점, 인증 없이 원격 익스플로잇 가능, 윈도우즈 플랫폼만 해당
CVE-2010-0902 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
Oracle OLAP 취약점
CVE-2010-0892 (3.2.0.00.27)
Application Express 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0900 (9.2.0.8, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
Network Layer 취약점, 인증 없이 원격 익스플로잇 가능, 윈도우즈 플랫폼만 해당
CVE-2010-0901 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
Export 취약점

오라클 타임스텐 인메모리 데이터베이스

CVE-2010-0873 (7.0.6.0)
Data Server 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0910 (7.0.6.0, 11.2.1.4.1)
Data Server 취약점, 인증 없이 원격 익스플로잇 가능

오라클 시큐어 백업

CVE-2010-0898 (10.3.0.1)
인증 없이 원격 익스플로잇 가능
CVE-2010-0907 (10.3.0.1)
인증 없이 원격 익스플로잇 가능
CVE-2010-0899 (10.3.0.1)
윈도우즈 플랫폼만 해당
CVE-2010-0906 (10.3.0.1)
CVE-2010-0904 (10.3.0.1)
인증 없이 원격 익스플로잇 가능

오라클 퓨전 미들웨어

CVE-2010-0849 (R27.6.6: JRE/JDK 1.4.2, 5, 6; R28.0.0: JRE/JDK 5 and 6)
JRockit 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2009-3555 (7.0 SP7, 8.1 SP6, 9.0, 9.1, 9.2 MP3, 10.0 MP2, 10.3.2)
WebLogic Server 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2375 (7.0 SP7, 8.1 SP6, 9.0, 9.1, 9.2 MP3, 10.0 MP2, 10.3.2, 10.3.3)
WebLogic Server 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2370 (5.7 MP3, 6.0 MP5, 10.3 MP2)
Oracle Business Process Management 취약점
CVE-2010-0835 (10.1.2.3)
Wireless 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0081 (10.1.2.3, 10.1.4.0.1)
Application Server Control 취약점
CVE-2010-2381 (10.1.2.3, 10.1.4.0.1)
Application Server Control 취약점

오라클 엔터프라이즈 매니저 그리드 컨트롤

CVE-2010-2373 (10.1.0.6, 10.2.0.5)
Console 취약점, 인증 없이 원격 익스플로잇 가능

오라클 E 비즈니스 스위트

CVE-2010-0908 (12.1.2)
Oracle Applications Framework 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0915 (11.5.10.2, 12.0.6, 12.1.2)
Oracle Advanced Product Catalog 취약점
CVE-2010-0912 (11.5.10.2, 12.0.6, 12.1.2)
Oracle Applications Framework 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0905 (11.5.10.2, 12.0.4)
Oracle Applications Manager 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0913 (11.5.10.2, 12.0.6, 12.1.2)
Oracle Applications Manager 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0909 (11.5.10.2, 12.0.6, 12.1.2)
Oracle Applications Framework 취약점
CVE-2010-0836 (11.5.10.2, 12.0.6, 12.1.2)
Oracle Knowledge Management 취약점, 인증 없이 원격 익스플로잇 가능

오라클 서플라이 체인 제품군

CVE-2010-2372 (6.1.1)
Oracle Transportation Management 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2371 (6.1.1)
Oracle Transportation Management 취약점, 인증 없이 원격 익스플로잇 가능

오라클 피플소프트, JDEdwards 제품군

CVE-2010-2401 (HCM 9.0 Bundle #9)
PeopleSoft Enterprise HCM - eProfile Mgr 취약점
CVE-2010-2402 (8.49.27)
PeopleSoft Enterprise PeopleTools 취약점
CVE-2010-2380 (SCM 8.9 Bundle #37 SCM 9.0 Bundle #30 SCM 9.1 Bundle #4)
PeopleSoft Enterprise FSCM 취약점
CVE-2010-2398 (HCM 9.0 Bundle #12)
PeopleSoft Enterprise HCM 취약점
CVE-2010-2379 (HCM 9.0 Bundle #13 HCM 9.1 Bundle #2)
PeopleSoft Enterprise HCM - Time & Labor 취약점
CVE-2010-2377 (8.49.27 8.50.10)
PeopleSoft Enterprise PeopleTools 취약점
CVE-2010-2378 (CRM 9.0 Bundle #28 CRM 9.1 Bundle #4)
PeopleSoft Enterprise CRM 취약점
CVE-2010-2403 (Campus Solutions 9.0 Bundle #17)
PeopleSoft Enterprise Campus Solutions 취약점

오라클 썬 제품군

CVE-2010-0083 (8, 9, 10, OpenSolaris)
Solaris 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2008-4247 (8, 9, 10, OpenSolaris)
Solaris 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-0916 (10, OpenSolaris)
Solaris 취약점
CVE-2010-2385 (4.0.13)
Sun Java System Web Proxy Server 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2392 (10, OpenSolaris)
Solaris 취약점
CVE-2010-0914 (1.0)
Sun Convergence 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2386 (8, 9, 10, OpenSolaris)
Solaris 취약점
CVE-2010-2394 (10)
Solaris 취약점
CVE-2010-2399 (10, OpenSolaris)
Solaris 취약점
CVE-2010-2400 (9, 10, OpenSolaris)
Solaris 취약점
CVE-2009-3763 (7.1, 7 2005Q4, OpenSSO Enterprise 8.0)
Access Manager / OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2009-3764 (OpenSSO Enterprise 8.0)
OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2009-3762 (OpenSSO Enterprise 8.0)
OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
CVE-2010-2393 (10, OpenSolaris)
Solaris 취약점 CVE-2009-0217 (OpenSSO Enterprise 8.0)
OpenSSO 취약점
CVE-2010-2376 (8, 9, 10)
Solaris 취약점
CVE-2010-2382 (8, 9, 10)
Solaris 취약점
CVE-2010-2383 (8, 9, 10, OpenSolaris)
Solaris 취약점
CVE-2010-2384 (9, 10)
Solaris 취약점
CVE-2010-2374 (12 update 1)
Solaris Studio 취약점
CVE-2010-2397 (Sun Java System Application Server 8.0, 8.1, 8.2, GlassFish Enterprise Server v2.1.1)
Sun GlassFish Enterprise Server, Sun Java System Application Server 취약점

XSS 취약점 패치

Tue, 13 Jul 2010 10:33:18 +0900

보안정보의 블로고스피어, 뉴스, 권고문, 익스플로잇 메뉴의 RSS 제목에 일괄적으로 이스케이프가 빠진 취약점이 있었습니다. 블로그 제목은 이스케이프가 되었는데 오히려 더 중요한 글 제목에서 이스케이프를 빠뜨렸네요. 인덱스 페이지에 출력되는 RSS 글 제목은 이스케이프 처리 되어있었습니다.

권고문/익스플로잇 쪽에 canvas 태그가 올라와서 알게 되셨다곤 하지만 제가 요새 정신이 없어서 모르고 지나칠 수도 있었는데 직접 테스트까지 해서 알려주신 헐랭이님께 감사드립니다. 사용자 분들께 불편을 끼쳐드리고 본의 아니게 위협에 노출시킬 수도 있었던 점에 대해 죄송하다는 말씀 드리고, 앞으로 개발 시 더 주의하도록 하겠습니다.

양봉열 배상

약관 개정

Tue, 29 Jun 2010 20:35:38 +0900

회사 설립 이후에도 그동안 약관 개정을 안 하고 있었는데 주체를 변경했습니다. 과거와 달라지는 것은 없으니 따로 확인하실 내용은 없겠으나 확인차 구 약관 및 새 약관을 첨부합니다.

슬슬 백엔드를 자체 개발한 크라켄 플랫폼 기반으로 변경하고 실버라이트 기반 ISAC을 오픈하면서 현재 제공하는 내용 외에 추가로 보안정보를 자체적으로 수집/가공해서 제공하려고 합니다. 그 때까지 조금만 기다려주세요.

플래시 플레이어 10.1.53.64 업데이트 권고

Tue, 15 Jun 2010 03:08:19 +0900

이전에 공개되었던 authplay.dll의 제로데이 취약점(이전 글: 어도비 플래시, 아크로뱃, 리더 취약점 발표 참조)을 비롯하여 30여 개의 보안 취약점이 패치 새최신 버전의 플래시 플레이어 10.1.53.64 버전이 발표되었습니다. 다운로드는 http://get.adobe.com/kr/flashplayer/ 에서 가능합니다.

패치된 취약점 목록

CVE-2008-4546, CVE-2009-3793, CVE-2010-1297, CVE-2010-2160, CVE-2010-2161, CVE-2010-2162, CVE-2010-2163, CVE-2010-2164, CVE-2010-2165, CVE-2010-2166, CVE-2010-2167, CVE-2010-2169, CVE-2010-2170, CVE-2010-2171, CVE-2010-2172, CVE-2010-2173, CVE-2010-2174, CVE-2010-2175, CVE-2010-2176, CVE-2010-2177, CVE-2010-2178, CVE-2010-2179, CVE-2010-2180, CVE-2010-2181, CVE-2010-2182, CVE-2010-2183, CVE-2010-2184, CVE-2010-2185, CVE-2010-2186, CVE-2010-2187, CVE-2010-2188, CVE-2010-2189

원문은 어도비의 APSP10-14 보안 공지를 참조하시기 바랍니다.

윈도우 도움말 및 지원 센터 제로데이 취약점

Tue, 15 Jun 2010 02:46:25 +0900

원문은 마이크로소프트 SRD 블로그의 Help and Support Center vulnerability full-disclosure posting을 참조하시기 바랍니다.

현지 시간으로 6월 9일 저녁 무렵 구글의 보안 연구원 Tavis Ormandy가 윈도우 XP와 2003을 공격 가능한 익스플로잇 코드와 취약점 세부 내용을 공개했습니다. 이 취약점은 보안권고문 2219475 및 CVE-2010-1885로 명명되었습니다.

취약점 설명

윈도우 7, 윈도우 서버 2008, 윈도우 비스타, 윈도우 2000은 이 취약점과 관련이 없습니다. 이 운영체제 버전들은 도움말 및 지원 센터 응용 프로그램을 포함하고 있지 않습니다. 하지만 윈도우 XP와 윈도우 서버 2003은 helpctr.exe 프로그램을 포함하고 있기 때문에, hcp:// 링크를 클릭하게 되면 프로토콜 핸들러가 등록되어 있어서 자동으로 helpctr.exe가 실행됩니다. 원래 이 응용 프로그램은 화이트리스트 기반으로 동작하기 때문에 안전한 것으로 생각되었지만, 도움말 페이지의 XSS 취약점과 쿼리스트링을 이용하여 화이트리스트를 우회할 수 있는 기법이 발견되었습니다. 악성 hcp:// 링크를 클릭하게 되면 XSS 취약점을 이용하여 helpctr.exe의 보안을 우회하고 임의의 exe를 실행할 수 있게 됩니다.

특이사항은 윈도우 서버 2003이 helpctr.exe와 hcp:// 프로토콜 핸들러 모두 설치되어 있는데도 불구하고 공개된 익스플로잇이 제대로 돌아가지 않았다는 점입니다. 이와 관련해서는 아직 조사 중이며 가능성을 배제하고 있지는 않습니다.

대응 방안

구글 보안 연구원이 자체적으로 제작한 핫픽스를 익스플로잇과 같이 공개하긴 했으나 취약한 코드의 노출 영역을 충분히 막고 있지 않기 때문에 쉽게 우회될 수 있습니다. 가장 확실한 방법은 hcp:// 프로토콜 핸들러를 제거하는 것입니다. HKEY_CLASSES_ROOT\HCP 키를 직접 제거하거나, 마이크로소프트에서 배포하고 있는 Fixit 50459를 실행하여 간편하게 삭제할 수 있습니다. 레지스트리를 원래대로 복원하려면 Fixit 50460을 실행하시면 됩니다.

관련 링크

[Full-disclosure] Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly

MS 2010년 6월 보안 패치

Fri, 11 Jun 2010 01:32:52 +0900

마이크로소프트에서 6월 정기 보안 업데이트가 발표되었습니다.

MS10-032 (중요) - win32k.sys 권한 상승 취약점

아래 3개의 윈도우즈 커널 모드 드라이버 취약점이 패치되었습니다. 로컬에서 공격 가능하고, 공격이 성공하면 커널모드에서 임의의 코드를 실행할 수 있게 됩니다.

CVE-2010-0484: Windows 커널 모드 드라이버가 특정 커널 개체 변경 내용의 유효성을 적절히 검증하지 않기 때문에 권한 상승이 가능합니다.
CVE-2010-0485: Windows 커널 모드 드라이버가 새 창을 만들 때 모든 매개 변수의 유효성을 적절하게 검사하지 않기 때문에 권한 상승이 가능합니다.
CVE-2010-1255: 트루 타입 글꼴을 파싱하는 부분의 취약점을 이용하면 권한 상승이 가능합니다.

MS10-033 (긴급) - 미디어 압축 해제의 원격 코드 실행 취약점

이 취약점으로 인해 악성 웹사이트에서 감염될 가능성이 있습니다.

CVE-2010-1879: 특수하게 조작된 미디어 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다.
CVE-2010-1880: MJPEG 미디어 압축 해제 시의 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다.

MS10-034 (긴급) - ActiveX 킬 비트 누적 업데이트

아래 6개의 취약한 ActiveX를 kill bit 설정으로 차단합니다.

CVE-2010-0252: Microsoft Data Analyzer ActiveX 원격 코드 실행 취약점
- max3activex.dll, {14FD1463-1F3F-4357-9C03-2080B442F503}
- max3activex.dll, {E9CB13DB-20AB-43C5-B283-977C58FB5754}
CVE-2010-0811: Microsoft Internet Explorer 8 개발자 도구 원격 코드 실행 취약점
- iedvtool.dll, {8fe85d00-4647-40b9-87e4-5eb8a52f4759}
Danske, eSec
- {F6A56D95-A3A3-11D2-AC26-400000058481}
CA PestScan, PSFormX
- {56393399-041A-4650-94C7-13DFCB1F4665}
Eastman Kodak Company, Ofoto Upload Manager / Kodak Gallery Easy Upload Manager ActiveX Control
- {6f750200-1362-4815-a476-88533de61d0c}
- {6f750201-1362-4815-a476-88533de61d0c}
Avaya, CallPilot Unified Messaging
- {7F14A9EE-6989-11D5-8152-00C04F191FCA}

MS10-035 (긴급) - 인터넷 익스플로러 누적 보안 업데이트

패치되지 않은 상태에서 악성 웹 페이지를 방문하게 될 경우 감염될 수 있습니다. 아래 6개의 취약점이 패치되었습니다. IE 6, 7, 8 모두 패치 대상입니다.

도메인 간 정보 유출 취약점 (CVE-2010-0255): 데이터 캐싱 방식에 정보 유출 취약점이 있고 캐시된 내용을 올바르게 호출하지 못하기 때문에 도메인 제한을 우회할 가능성이 있습니다.
toStaticHTML 정보 유출 취약점 (CVE-2010-1257): XSS 기법으로 toStaticHtml을 이용하여 정보 유출이 가능합니다.
초기화되지 않은 메모리 손상 취약점 (CVE-2010-1259): 제대로 초기화 되지 않았거나 삭제된 개체에 액세스 하면서 원격 코드 실행이 허용될 수 있습니다.
HTML Element 메모리 손상 취약점 (CVE-2010-1260): 제대로 초기화 되지 않았거나 IE8 개발자 도구 모음에서 삭제된 개체에 액세스 하면서 원격 코드 실행이 허용될 수 있습니다.
초기화되지 않은 메모리 손상 취약점 (CVE-2010-1261): 제대로 초기화 되지 않았거나 IE8 개발자 도구 모음에서 삭제된 개체에 액세스 하면서 원격 코드 실행이 허용될 수 있습니다.
메모리 손상 취약점 (CVE-2010-1262): 제대로 초기화 되지 않았거나 삭제된 개체에 액세스 하면서 원격 코드 실행이 허용될 수 있습니다.

MS10-036 (중요) - MS 오피스 COM 유효성 검사의 원격 코드 실행 취약점

오피스 XP부터 2007까지 해당됩니다.

CVE-2010-1263: MS 오피스가 COM 개체 인스턴스화의 유효성을 검사하는 과정에 원격 코드 실행 취약점이 존재합니다.

MS10-037 (중요) - OpenType CFF 드라이버의 권한 상승 취약점

CVE-2010-0819: 윈도우 OpenType Compact Font Format 드라이버가 유저모드에서 커널모드로 전달된 데이터의 유효성 검증을 제대로 하지 않아 권한 상승이 가능합니다.

MS10-038 (중요) - 엑셀 원격 코드 실행 취약점

특수하게 조작된 엑셀 파일을 열게 되면 원격 코드 실행을 허용할 수 있습니다. 아래 14건의 취약점이 패치되었습니다.

엑셀 레코드 분석 메모리 손상 취약점 (CVE-2010-0821)
엑셀 개체 스택 오버플로우 취약점 (CVE-2010-0822)
엑셀 메모리 손상 취약점 (CVE-2010-0823)
엑셀 레코드 메모리 손상 취약점 (CVE-2010-0824)
엑셀 레코드 메모리 손상 취약점 (CVE-2010-1245)
엑셀 RTD 메모리 손상 취약점 (CVE-2010-1246)
엑셀 메모리 손상 취약점 (CVE-2010-1247)
엑셀 HFPicture 메모리 손상 취약점 (CVE-2010-1248)
엑셀 메모리 손상 취약점 (CVE-2010-1249)
엑셀 EDG 메모리 손상 취약점 (CVE-2010-1250)
엑셀 레코드 스택 손상 취약점 (CVE-2010-1251)
엑셀 문자열 변수 취약점 (CVE-2010-1252)
엑셀 ADO 개체 취약점 (CVE-2010-1253)
맥 오피스 Open XML 사용 권한 취약점 (CVE-2010-1254)

MS10-039 (중요) - 쉐어포인트 권한 상승 취약점

Help.aspx XSS 취약점 (CVE-2010-0817)
toStaticHTML 정보 유출 취약점 (CVE-2010-1257)
쉐어포인트 도움말 페이지 DoS 취약점 (CVE-2010-1264)

MS10-040 (중요) - IIS 원격 코드 실행 취약점

IIS 6.0, 7.0, 7.5가 인증에 대한 확장된 보호 기능을 사용하는 경우 취약합니다. 공격에 성공하면 Worker Process Identity 컨텍스트에서 코드를 실행할 수 있습니다.

IIS 인증 메모리 손상 취약점 (CVE-2010-1256): IIS가 인증에 대한 확장된 보호 기능을 사용하도록 설정된 경우 특정 인증 정보를 파싱할 때 메모리 할당을 올바르게 하지 못하는 점을 이용하여 공격자가 조작된 HTTP 패킷을 보내면 원격 코드 실행이 발생할 수 있습니다.

MS10-041 (중요) - 닷넷 프레임워크의 서명 변조 가능 취약점

XML 서명 HMAC 잘림 인증 우회 취약점 (CVE-2009-0217): 서명된 XML 내용을 변조할 수 있는 데이터 변조 취약점이 존재합니다.

GR BOARD 취약점 패치 권고

Wed, 09 Jun 2010 10:35:29 +0900

지난 월요일 GR Board v1.8.6.3 [R2 - Security Fix] stable (UTF-8) 이하 버전에서 발견된 취약점 패치가 공개되었습니다. 취약한 서버 설정을 이용하여 원격에서 웹쉘을 실행할 수 있는 취약점입니다. 원문은 국내 공개 웹 게시판(GR Board) 보안 업데이트 권고를 참고하시기 바랍니다.

패치 파일만 덮어 씌우거나, 패치가 적용된 상위 버전으로 업그레이드 할 수 있습니다.

1. 패치 파일만 덮어 씌우는 방법

공식사이트에서 grboard_v1863_r2_again.zip 과 sirini_gallery2_play.zip 을 다운로드 받은 후 압축을 해제하여 page.php, list.php 파일을, 기존에 사용하던 GR Board 디렉토리에 덮어씌운다.

page.php는 ./ 에, list.php는 ./latest/sirini_gallery2_play 에 설치한다.

2. 상위 버전으로 업그레이드 하는 방법

공식사이트에서 grboard_v1863_r2_again.zip 과 sirini_gallery2_play.zip 을 다운로드 받은 후 압축을 해제하여, 전체 파일을 기존에 사용하던 GR Board 디렉토리에 덮어 씌운다.

sirini_gallery2_play.zip 파일은 압축을 해제한 후 ./latest/sirini_gallery2_play 에 설치한다.

어도비 플래시, 아크로뱃, 리더 취약점 발표

Mon, 07 Jun 2010 20:26:18 +0900

원문은 어도비 사의 Security Advisory for Flash Player, Adobe Reader and Acrobat을 참조하시기 바랍니다. (CVE-2010-1297)

요약

윈도우, 매킨토시, 리눅스, 솔라리스 운영체제에서 동작하는 어도비 플래시 플레이어 10.0.45.2 이하 버전, 윈도우, 매킨토시, 유닉스 운영체제에서 동작하는 어도비 리더와 아크로뱃 9.x 버전에 탑재된 authplay.dll 컴포넌트에서 심각한 취약점이 발견되었습니다.

취약한 버전 목록

어도비 플래시 플레이어 10.0.45.2, 9.0.262, 10.0.x 이하 및 9.0.x 이하 버전 (윈도우, 매킨토시, 리눅스, 솔라리스 용)
어도비 리더 및 아크로뱃 9.3.2와 9.x 이하 버전 (윈도우, 매킨토시, 유닉스 용)

대응 방법

플래시 플레이어 10.1 RC 버전은 취약하지 않습니다. 어도비 리더와 아크로뱃의 경우 authplay.dll 파일을 제거하면 현재 문제되는 취약점에 대한 공격은 막을 수 있겠지만 SWF 컨텐츠를 포함한 PDF 파일을 열려고 할 때 충돌이 발생하거나 오류 메시지가 뜰 수 있습니다.

authplay.dll의 위치는 아래와 같습니다.

어도비 리더: C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
아크로뱃: C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll

10.1 RC를 설치하거나 패치가 나올 때까지 기다릴 수 없다면 위 파일의 이름을 바꾸거나 삭제해서 공격을 미연에 방지할 수 있습니다. 그렇지 않다면 출처가 불분명한 웹 링크나 PDF 파일을 열지 않도록 주의하셔야 합니다.

세부 내용

CVE-2010-1297로 명명된 취약점을 이용하면 공격자가 취약한 시스템에 대한 완전한 제어 권한을 얻을 수 있습니다. 이 취약점을 이용한 공격이 이미 보고되었습니다. 어도비 리더와 아크로뱃 8.x 버전은 취약하지 않습니다.

제 15회 정보보호 심포지엄

Thu, 03 Jun 2010 19:04:50 +0900

KISA에서 주최하는 제 15회 정보보호 심포지엄이 6월 10일 잠실 롯데호텔 크리스탈볼룸에서 개최됩니다.

'미래를 향한 도약 - 무선인터넷과 융합 보안'이라는 주제로 진행되는 이번 심포지엄의 발표주제는 아래와 같습니다.

A-1 : 정책(좌장 - 단국대 정준현 교수)

방송통신 미래서비스 전략 (방통위 정경호 PM)
인터넷 정보보호 정책방향 (방통위)
무선인터넷 활성화와 정보보호 (KISA 원유재 단장)

B-1 : 융합(좌장 - 순천향대 염흥렬 교수)

이동통신 발전과 보안 기술 동향 (SKT 정용식 매니저)
무선랜 이용 확산과 보안 이슈 및 대응 (유넷시스템 이상준 부장)
공인인증서와 아이핀 2.0을 활용한 주민번호 최소화 방안 (KISA 안종찬 팀장)

C-1 : 미래(좌장 - 충남대 류재철 교수)

근 미래 네트워크 위협 및 보안 전망 (고려대 김휘강 교수)
스마트그리드 저변 확대와 다가오는 위협 (국보연 이철원 본부장)
클라우드 서비스와 정보보호 (서울여대 박춘식 교수)

A-2 : 트렌드(좌장 - 중앙대 김정덕 교수)

에스토니아 사례로 본 7.7 DDoS 대응 및 향후 대응 방안 (컬럼니스트 전상훈)
통신사별 7.7 DDoS 대란 이후의 DDoS 대응체 계 패러다임 변화
(KT, LGT, SKBB) 사이버 위기 대응체계 고도화 방안 (KISA 신대규 팀장)

B-2 : 스마트폰 보안(좌장 - 서울여대 박춘식 교수)

진화하는 스마트폰 보안 위협 및 대응 방안 (충남대 류재철 교수)
스마트폰 보안 이슈에 따른 금융보안모듈 제공 방안 (금융보안연구원 장재환 팀장)
스마트폰에서의 프라이버시 위협과 대책 (KISA 이강신 단장)

C-2 : 신규서비스(좌장 - 숙명여대 최종원 교수)
소셜 네트워크 시대 도래와 이에 따른 정보보호 이슈 (NHN 이진규 팀장)
가상화 및 증강현실 기술 현황 및 정보보호 이슈 (LG전자 윤훈주 과장)
유비쿼터스 환경에서의 융합보안 서비스 및 정보 윤리 (이글루시큐리티 윤훈모 과장)

악성코드의 모듈화를 통한 탐지 회피

Sun, 30 May 2010 00:07:44 +0900

이 글은 SANS ISC의 Malware modularization and AV detection evasion을 번역한 글입니다.

맬웨어의 모듈화는 오래전부터 이미 알려졌던 부분입니다. 맬웨어 제작자들은 다양한 모듈을 만드는법으로 쉽게 맬웨어의 기능을 확장할 수 있으면서도 분석을 어렵게 만들어 왔습니다. 이렇게 하는 이유는 간단합니다. 가령 온라인 뱅킹을 공격하는 악성코드의 경우 특정 은행을 공격하는데 상관없는 모듈은 다운로드 및 설치를 하지 않습니다. 이렇게 되면 안티바이러스 회사에서 공격자가 보유하고 있는 모든 모듈을 수집하는게 더 어려워집니다. 이렇게 높은 수준으로 모듈화된 악성코드로는 Clampi가 있습니다. 시만텍 웹사이트에서 이미 Clampi와 관련된 글을 연재한 적이 있습니다.

공격자는 모듈화를 이용해서 악성코드의 핑거프린트를 급격하게 바꿀 수도 있습니다. 특정 모듈이 안티바이러스에게 탐지되면 해당 모듈만 변경해버리면 됩니다. 계속 변종이 나오는 것 때문에 안티바이러스 회사가 공격자를 따라잡는게 상당히 버겁습니다.

며칠 전 매우 간단한 악성 파일이 보고된 적이 있습니다. 이 파일은 윈도우 7 운영체제의 /Windows/SysWOW64 디렉터리에서 발견되었는데, netset.exe라는 파일 이름을 가지고 있었고 서명되지 않은 파일이기 때문에 금방 눈에 띄었다고 합니다. 문제는 VirusTotal에 올려봤지만 40개나 되는 엔진 중 어떤 엔진도 이 파일을 악성이라고 진단하지 않았다는 점입니다.

심지어 Anubis를 이용해서 악성 코드를 분석해봤는데도 수상한 점을 하나도 발견해내지 못했습니다. 이제는 눈으로 직접 코드를 분석해보는 방법 밖에 없었죠.

딱히 악성이라고 말하기는 어렵지만 맬웨어의 일부분인 것은 확실했습니다. 이 바이너리의 목적은 사용자가 특정 안티바이러스 프로그램을 돌리고 있는지 여부를 알아내는 것이었습니다. 안티바이러스 존재 여부는 exit 코드 값으로 리턴하게 되어있었습니다. 흥미로운 부분은 이 프로그램의 은폐 기능이었습니다.

먼저 이 맬웨어는 명령줄 매개변수와 함께 실행되어야 합니다. 매개변수는 s나 t로 시작되는 어떤 문자열도 가능합니다. 만약 문자가 발견되지 않으면 관련 파일들(dtnet.exe, plang.enu, dsten.log)을 삭제하고 종료해버립니다.

만약 정확한 매개변수가 들어오면, 이 바이너리는 시스템에 설치된 모든 응용 프로그램에 대한 정보를 담고 있는 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Uninstall 레지스트리 키를 열게 됩니다. 그 다음 하위 키 중에 avast, avg, avira, nod32, kaspersky, norton, mcafee, trend micro, comodo가 존재하는지 확인합니다. 안티바이러스를 발견할 때마다 카운터가 하나씩 증가하고 리턴 코드 값으로 이를 반환하게 됩니다. 다른 맬웨어는 이 바이너리를 이용해서 안티바이러스의 동작 여부를 알아낼 수 있습니다.

이 파일은 굉장히 단순하지만, 단순한만큼 자동화된 분석으로 이런 파일을 잡아내기가 어렵습니다. Anubis 같은 에뮬레이터를 쓰더라도 매개변수가 안 맞으면 정상적인 파일인 줄 알고 넘어가기 쉽죠. VirusTotal 결과에서 봤던 것처럼 시그니처 기반의 스캐닝에서 벗어나기도 쉽습니다.

리버스 엔지니어링 10년사

Sun, 23 May 2010 19:42:14 +0900

이 글은 Zynamics 블로그의 Ten years of innovation in reverse engineering을 번역한 글입니다.

바르셀로나에서 열렸던 블랙햇 유럽 컨퍼런스에서 돌아오면서 토마스와 저는 최근 10년 동안 바이너리 코드 리버스 엔지니어링 분야에서 있었던 가장 중요한 변화들이 어떤 것이었는지 이야기를 나누었습니다. 2000년에는 W32Dasm과 터보 디버거가 좋은 리버스 엔지니어링 도구로 취급되었었죠. 그 시절에는 프로그램이 실행되면서 어디로 점프하는지 로그를 남기는 트레이서를 직접 작성할 수 있었다면 최고가 될 수 있었습니다.

아무튼 2000년 이후 리버스 엔지니어로 일했던 사람들이 만들어낸 커다란 트렌드와 기술 변화로는 아래와 같은 것들이 있었습니다.

어셈블리 코드의 플로우 그래프 시각화

2001년 6월 IDA Pro 4.17 버전에서 처음으로 소개된 기능입니다. 이 기능은 디스어셈블 된 어셈블리 코드를 그래프로 볼 수 있도록 해주면서 리버스 엔지니어들의 작업을 매우 쉽게 만들어줬습니다. 요점만 말하면, 플로우 그래프 시각화는 저수준 코드 분석에 들어가는 시간과 노력을 줄이면서 한 단계 높은 추상화 수준에서 코드를 이해할 수 있도록 만들어줬습니다. 이렇게 그래프로 보기 전에는 리버스 엔지니어링 하면서 직접 루프나 if-else와 같은 컨트롤 플로우 구조를 그려야만 했었죠. 플로우 그래프 시각화를 이용하면 별도의 작업 없이 바로 컨트롤 플로우가 어떻게 되어있는지 볼 수 있습니다.

IDA에서 이 기능이 지원되면서 다른 도구(BinNavi 등)들도 인터랙티브 플로우 그래프라는 아이디어를 구현하기 시작했습니다. 2006년 3월 나온 IDA Pro 5.0 그래프 엔진도 인터랙티브 그래프를 제공하기 시작했구요.

파이썬을 스크립트 언어로 사용

2000년대로 돌아가보면 많은 리버스 엔지니어링 도구들은 상당히 원시적이었고 확장성이라고는 찾아보기 어려웠습니다. 디스어셈블러 중에서는 그나마 IDA Pro 4의 조악한 IDC 구현이 나은 수준이었고, 디버거 쪽은 그야말로 절망이었죠. 이런 상황은 파이썬과 SWIG가 대중적인 인기를 얻게 되면서 반전됩니다. 이 기술은 누구나 쉽게 자신의 프로그램이 파이썬 기반 API를 노출하고 파이썬 인터프리터에서 이를 사용할 수 있도록 했습니다. 제가 기억하는 가장 큰 진보는 파이썬으로 IDA API를 사용할 수 있도록 IDA Pro에서 사용할 수 있는 IDAPython 플러그인이 나온 것입니다. 그 후에 Pedram Amini의 PyDbg나 Ero Carrera의 pefile 프로그램이 나오면서 리버스 엔지니어링 분야에서 파이썬 언어가 주류로 자리잡게 되지요.

지금은 파이썬이 리버스 엔지니어링 분야의 표준 스크립팅 언어나 마찬가지가 되었고, IDA Pro에서 이뮤니티 디버거나 BinNavi에 이르기까지 다들 파이썬 스크립팅을 지원하고 있습니다.

동적 코드 조작 도구 (Dynamic Instrumentation)

이 기술 자체는 정말 새로운 것이라 말할 수는 없지만, DynamoRIO나 Pin 같은 도구들은 확실히 새로운 물건이라 말할 수 있습니다. 이 프레임워크들을 이용하면 명령어 스트림을 모니터링하고 조작하는 강력한 동적 분석 도구를 만들어낼 수 있습니다. 여러분이 이런 도구를 한 번도 사용해 본 적이 없다면, 이 도구를 인스트럭션이 실행될 때마다 C/C++ 프로그램에서 콜백을 받을 수 있도록 만들어주는 도구로 상상하시면 됩니다. 이를 이용하면 적은 오버헤드만으로 대상 프로그램의 모든 면을 완전히 제어할 수 있습니다.

여러분이 연구하는데 사용할 새로운 리버스 엔지니어링 도구를 찾고 있다면 동적 코드 조작이 필요할 겁니다. 정적 분석의 복잡도에 비하면 실제 동작하는 프로그램을 추적하는 것이 훨씬 쉽습니다. 게다가 아직까지 이런 기술이 그렇게 널리 이용되고 있지도 않습니다.

바이너리 디핑 (Diffing)

오래 전 몇몇 똑똑한 사람들이 이런 훌륭한 아이디어를 내놓았죠. 만약 같은 파일의 패치 전 버전과 패치 후 버전을 비교할 수 있다면, 패치로 인해 변경된 부분을 알아내고 패치된 취약점이 무엇인지 쉽고 빠르게 알아낼 수 있습니다. 이게 가능하려면 파일의 서로 다른 버전을 비교할 수 있는 도구가 필요했고, BinDiff 같은 도구가 근래 널리 사용되고 있습니다.

하지만 파일 비교라는 아이디어는 널리 알려진 것이기 때문에 공짜로 사용할 수 있는 도구들도 몇 년 새 많이 늘었습니다. 근본적으로 이 도구들은 모두 같은 방식으로 동작합니다. 두 개의 입력 파일이 디스어셈블 되고 나면, 파일 A의 함수를 파일 B의 함수와 비교하고, 매칭된 함수들 간에 어떤 변경이 있었는지 찾아내서 사용자에게 보여줍니다.

BinDiff 스타일의 도구는 이제 많은 리버스 엔지니어들의 기본 도구가 되었습니다. 취약점 연구자부터 맬웨어 분석가에 이르기까지 안 쓰이는 분야를 찾기가 어렵죠. 2000년 이래 이처럼 극적으로 성장한 기술을 찾기가 어렵습니다.

SoftICE 시대의 종말

되돌아보면 예전에는 SoftICE가 리버스 엔지니어링 분야에서 사용되는 디버거로는 단연 독보적이었습니다. SoftICE는 뉴햄프셔에 소재했던 NuMega라는 회사에서 작성한 디버거였죠. 이 디버거를 사용하면 복잡한 설정 없이도 유저랜드 프로그램 뿐 아니라 커널에 위치한 프로그램까지 디버깅할 수 있었습니다. 이후 Numega는 Compuware에 인수되고 SoftICE는 2006년 4월에 단종되었습니다.

지금은 새로운 디버거들이 SoftICE의 자리를 대체했습니다. 마이크로소프트의 WinDbg는 SoftICE 만큼 멋있지는 않지만 강력한 기능을 자랑하기 때문에 요새 많이 사용되고 있습니다.

헥스레이(Hex-Rays) 디버거의 등장

2000년대 디컴파일러는 아주 욕 나오는 물건이었습니다. 지금은 Hex-Rays가 있습니다. 2007년에 IDA Pro 팀에서 처음으로 디컴파일러를 내놓았는데, 이게 정말 실용적으로 쓸만했습니다. 이 디컴파일러는 개선에 개선을 거듭해서 지금은 ARM 디컴파일까지 지원합니다.

아직 Hex-Rays가 그렇게 많이 사용되는 것 같진 않지만 이 제품은 계속 주시할만한 물건입니다.

공동 리버스 엔지니어링

옛날에는 같은 프로그램에서 나온 산출물이라도 각각 만들어진 두 개의 데이터베이스에 들어있는 리버스 엔지니어링 결과물을 교환하는게 굉장히 어려운 일이었습니다. 최근에 이런 상황은 거의 마지못해 바뀌고 있습니다. 오늘날의 소프트웨어는 10년 전에 비하면 훨씬 더 복잡하기 때문에 여러 리버스 엔지니어링 팀이 공동으로 같은 프로젝트에 매달려야 되는 경우가 늘어났기 때문이지요.

지금은 그렇지 않더라도 공동 작업이 가능하게 해주는 도구들은 이미 시장에 나와있고, 앞으로 점점 더 널리 사용되게 될 것입니다. Chris Eagle이 만든 IDA Pro용 CollabREate이나 우리가 만든 BinCrowd를 이용하면 동료들과 결과물을 공유할 수 있습니다.

학문적 접근

최근 몇 년 간 주요 대학들의 연구 주제는 바이너리 코드 리버스 엔지니어링과 관련이 있었습니다. 그 중에서도 버클리 대학과 카네기 멜론 대학에서 좋은 결과들을 많이 내놨습니다. 업계의 리버서들도 이러한 학계의 접근 방식들을 주목하고 있습니다. 아직까지는 학계의 연구 결과가 업계에서 널리 받아들여지고 있지는 않지만, 리버스 엔지니어링에 정형화된 접근 방식을 적용하려는 시도가 계속 늘어나고 있습니다. 정형화된 리버스 엔지니어링에 대한 정보를 많이 제공하고 있는 Reverse Engineering Reddit의 인기가 이러한 경향을 말하고 있습니다.

KrCERT 관심 경보 발령

Sun, 23 May 2010 17:23:34 +0900

천안함 침몰 조사 결과 발표, 6.2 지방 선거, 그리고 지난 7.7 DDoS 대란 1주기가 다가옴에 따라 사회혼란을 일으킬 목적으로 사이버 공격이 발생할 수 있다고 보고 사전 대비 차원에서 관심 경보가 발령되었습니다. 자세한 내용은 인터넷침해대응센터 공지 및 뉴스를 참고하시기 바랍니다.

MS 2010년 5월 보안 패치

Wed, 12 May 2010 14:12:17 +0900

마이크로소프트에서 5월 정기 보안 업데이트가 발표되었습니다.

MS10-030 (긴급) - 아웃룩 익스프레스 및 윈도우 메일의 원격 코드 실행 취약점

CVE-2010-0816 - 메일 응답 처리하면서 유효성 검증을 충분히 하지 않아서 버퍼 크기를 잡을 때 정수 오버플로우가 발생하는 취약점입니다.

단순히 악성 이메일을 보내는 방식으로는 취약점을 공격할 수 없습니다. 따라서 사용자가 악성 이메일 서버로 접속하거나, MITM 기법으로 POP 혹은 IMAP 응답이 조작되는 경우에만 공격 받을 수 있습니다. SSL을 이용하여 신뢰할 수 있는 서버에만 접속하는 경우에는 안전합니다. 만약 WiFi 등으로 신뢰할 수 없는 네트워크에서 암호화되지 않은 접속을 한다면 공격 받을 수 있습니다.

MS10-031 (긴급) - VBA6 원격 코드 실행 취약점

CVE-2010-0815 - VBE6.DLL 라이브러리 내부에서 VBA가 ActiveX 컨트롤을 검색하는 과정에 원격 코드 실행 취약점이 있습니다. 공격자가 특수하게 조작한 오피스 문서를 사용자가 실행하게 되면 VBA 런타임을 통해 임의의 코드를 실행할 수 있습니다.

SRD 블로그에서 설명한 내용(MS10-031: VBE6 Single-Byte Stack Overwrite)에 따르면, 실제 상황에서 이 취약점을 익스플로잇할 수 있는 조건은 상당히 제한적입니다. 아래와 같은 조건을 모두 만족시켜야 합니다.

덮어쓰이는 바이트 값은 0x2e 이어야 함
덮어쓰게 되는 값은 항상 0
파싱 버퍼와 덮어쓰이는 0x2e 바이트 사이에 NULL 값이 없어야 함

이 때문에 실제 위험은 그리 높지 않겠지만, 패치는 설치하시기 바랍니다.

apache.org 침해사고 발생

Tue, 20 Apr 2010 01:03:31 +0900

수많은 오픈소스 프로젝트를 호스팅하고 있는 apache.org 서비스가 4월 초 해킹 당하고 지난 주에 보고서가 나왔습니다. 요새 프로젝트 이슈 트래킹을 할 때 아틀라시안(Atlassian)에서 제공하는 JIRA를 많이 사용하고 있는데 이 프로그램에 XSS 취약점이 있던 것이 일차적인 문제가 되었습니다. 일단 JIRA와 Confluence(위키)는 패스워드를 SHA-512 해시로 저장하지만 별도의 salt 값을 사용하지 않으므로 사전에 있는 단어로 암호를 사용했었다면 문제가 될 수 있습니다. 원문은 apache.org incident report for 04/09/2010 을 참고하시면 되겠습니다.

4월 5일 공격자는 Slicehost (호스팅 서비스) 서버를 이용하여 INFRA-2591이라는 새로운 이슈를 등록합니다. 이슈에는 아래와 같은 메시지가 포함되어 있었습니다.

i've got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXX (마스크 처리됨)

Tinyurl로 줄여진 주소는 JIRA의 XSS 공격이 가능한 페이지로 다시 리다이렉트 하도록 걸려있었습니다. 사용자가 JIRA에 로그인 된 상태에서 이 페이지를 보게 되면 세션 쿠키를 훔칠 수 있게 스크립트가 만들어져 있었습니다. 인프라스트럭처 팀을 대상으로 이슈를 등록했기 때문에 몇몇 관리자들이 이 링크를 클릭했습니다. 이를 이용하면 공격자가 JIRA 관리자 권한을 얻을 수 있습니다. 한편으로 공격자는 JIRA의 login.jsp 페이지를 대상으로 무차별 대입 공격(bruteforce)도 시도하고 있었습니다.

4월 6일, 공격자는 JIRA의 관리자 권한을 얻었고 이슈 메일 알림 기능을 끄고 JSP 파일을 돌릴 수 있는 경로로 첨부파일 업로드 경로를 변경합니다. 이 상태에서 여러 개의 이슈를 등록하면서 첨부 파일을 올렸고 이 중에는 파일 시스템을 조회하거나 파일을 복사할 수 있는 JSP도 포함되어 있었습니다. 공격자는 여러 사용자의 홈 디렉터리와 이런저런 파일들을 복사했습니다. 업로드 된 JSP 중에는 JIRA 계정 권한으로 동작하는 백도어도 있었습니다.

4월 9일 오전, 공격자는 로그인 페이지에서 패스워드를 수집하고 저장할 수 있는 JAR 파일을 설치합니다. 그 다음 아파치 인프라스트럭처 팀원들에게 패스워드 리셋 메일을 보내는 사회공학적 기법을 사용했습니다. 팀원들은 JIRA가 단순히 오동작 한 것으로 생각하고 메일에 적혀 있는 임시 패스워드를 이용하여 로그인 한 다음 원래 패스워드로 복구해놨습니다.

이렇게 노출된 패스워드 중에는 brutus.apache.org 서버의 사용자 계정 패스워드와 동일한 것이 있었습니다. 이 계정에는 sudo 권한도 있었고 공격자는 brutus.apache.org 서버를 마음대로 제어할 수 있는 완전한 권한을 획득했습니다. 이 서버는 JIRA, Confluence, Bugzilla를 호스팅하고 있었습니다.

brutus.apache.org 서버에는 일부 사용자들의 SVN 인증 정보 캐시가 남아있었는데, 공격자는 여기서 얻어낸 패스워드로 minotaur.apache.org (= people.apache.org) 서버에 로그인 했습니다. 하지만 이 서버에서는 루트를 따지 못했습니다.

아파치 팀은 패스워드 리셋이 발생한지 6시간 후에야 공격을 발견했고 서비스를 내리기 시작했습니다. brutus 서버에서 호스팅 하던 서비스들은 thor.apache.org 서버로 옮겨졌고, 4월 10일 JIRA와 Bugzilla가 복구되었습니다. 4월 13일, 아틀라시안에서 XSS 취약점 패치를 발표합니다. JIRA-20994와 JIRA-20995를 참고하시기 바랍니다.

이번 해킹 사건이 다행히 한 서버만 뚫리고 끝난 것은 OTP를 사용하고 있었기 때문입니다. 같은 패스워드로 다른 서버에 로그인할 수 있었다면 아파치 소프트웨어 재단의 기반 시설이 광범위하게 공격받았을 수 있습니다.

이 사고에서 특히 문제가 되었던 부분은 JIRA 패스워드와 관리자 계정의 패스워드가 동일했다는 것, 전면적으로 OTP를 적용하지 않았던 것, 그리고 SSH 키 대신 패스워드 기반으로 SSH 로그인이 가능하게 해두었던 점입니다. 마지막으로 JIRA 로그인 시도에 대해 Fail2Ban을 걸어놓지 않았던 것도 공격을 조기에 발견하지 못했던 원인이었습니다.

서브버전 패스워드 캐시는 /etc/subversion/config 전역 설정 파일에서 아래와 같이 비활성화 할 수 있습니다.

[auth]
store-passwords = no

아틀라시안 역시 이 건과 관련된 공격을 받아 오프라인 상태에 있던 2008년 7월 이전 가입자 정보를 담고 있는 레거시 데이터베이스가 유출되었습니다. 패스워드가 평문으로 저장되어 있었으니 이 시점 이전에 가입했던 회원이라면 반드시 패스워드를 바꾸시기 바랍니다. 아틀라시안과 관련된 자세한 내용은 Oh man, what a day! An update on our security breach 글을 참고하시기 바랍니다.