블로그

Microsoft 보안 업데이트가 적용되지 않은 취약한 Windows 시스템을 겨냥 한 ‘WannaCry(워너크라이) 랜섬웨어’의 공격이 전세계적으로 진행되고 있습니다.

랜섬웨어란 컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성 프로그램으로 몸값을 뜻하는 랜섬(Ransom)과 소프웨어(Software)의 합성어입니다.

WannaCry 랜섬웨어 감염 시 문서 파일, DB파일등을 암호화하며, 암호를 푸는 대가로 비트 코인을 요구합니다.

WannaCry 랜섬웨어 는 Microsoft 보안 업데이트를 적용하지 않은 환경의 Windows 취약점을 악용한 것으로, 2017년 3월 발표된 Microsoft 보안 업데이트 [MS17-010 Microsoft Windows SMB 서버용 보안 업데이트(4013389)]에서 이미 이 취약점이 해결되었습니다. MS17-010 보안 업데이트 적용하여 공격을 예방할 수 있으며, 또한 해당 업데이트가 이미 적용된 Windows 시스템은 이번 공격에서 안전합니다.

아래의 대응 방법을 적용하여 이번 랜섬웨어 감염으로 인한 피해가 없으시기를 바랍니다.

[WannaCry 랜섬웨어 대응 방법]

l  조치 방법

①     사용하고 있는 백신 소프트웨어를 최신으로 업데이트하고 시스템을 검사합니다.

만일 설치된 백신 소프트웨어가 없다면 Microsoft 백신 소프트웨어를 이용하십시오.
Windows Defender 와 Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단됩니다.

-       Windows 8.1 및 Windows 10 : Windows Defender 이용

-       Windows 7, Windows Vista: Microsoft Security Essentials 이용

-       Microsoft 무료 PC보안 검사 : Microsoft Safety Scanner 이용

②     Windows Update 또는 WSUS등을  이용하여 시스템을 최신으로 보안 업데이트 합니다.
WU을 사용할 수 없는 경우, Microsoft 보안 업데이트 MS17-010 를 수동 설치합니다. OS별 설치 경로는 아래와 같습니다.

Microsoft 보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

추가 정보

-        Microsoft Security Response Center Blog,  Customer Guidance for WannaCrypt attacks : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

-        Microsoft Malware Protection Center Blog, WannaCrypt ransomware worm targets out-of-date systems: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

-        Microsoft 보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389) : https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

-        CVE-2017-0145 | Windows SMB 원격 코드 실행 취약성 : https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2017-0145

Oracle 사의 MySQL에서 원격코드 실행이 가능한 취약점이 발견되었습니다.

MySQL을 사용하는 서비스의 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고드립니다.

---------------------------------------------------------------------------------------------------

MySQL 신규 취약점 업데이트 권고

□ 개요

o 오라클社 MySQL에서 원격코드 실행 및 권한상승 등의 피해를 발생시킬 수 있는 취약점이 발견됨[1]

※ MySQL : 오라클에서 개발한 오픈소스 관계형 데이터베이스 관리 시스템

- 공격자가 원격코드 실행 취약점을 이용하여 MySQL 설정 파일을 변경할 경우 공격에 악용될 수 있음

□ 내용

o MySQL에서 발생하는 원격코드 실행 및 권한상승 취약점(CVE-2016-6662, CVE-2016-6663)

□ 영향 받는 소프트웨어

ㅇ MySQL 5.7.14 및 이전버전

ㅇ MySQL 5.6.32 및 이전버전

ㅇ MySQL 5.5.51 및 이전버전

□ 해결방안

ㅇ MySQL 5.7.15 버전으로 업데이트

ㅇ MySQL 5.6.33 버전으로 업데이트

ㅇ MySQL 5.5.52 버전으로 업데이트

□ 참고사이트

[1] http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.txt

OpenSSL에서 신규 취약점을 해결한 보안 업데이트가 발표되었습니다.

해당 취약점은 2016년 09월 23일 제공된 보안업데이트의 버전에서 영향을 받으므로,

서비스 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고 드립니다.

-----------------------------------------------------------------------------

□ 개요

 o OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안업데이트를 발표[1]

  - 해당 취약점은 OpenSSL에서 2016년 9월 22일(현지시간)에 제공 된 업데이트 버전에서 발생

□ 설명

 o 원격에서 특수하게 조작 된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309)

 o CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052)

□ 해당 시스템

 o 영향을 받는 제품

  - OpenSSL 1.1.0a (CVE-2016-6309)

  - OpenSSL 1.0.2i (CVE-2016-7052)

□ 해결 방안

 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]

  - OpenSSL 1.1.0a 사용자 : 1.1.0b로 업데이트

  - OpenSSL 1.0.2i 사용자 : 1.0.2j로 업데이트

[참고사이트]

[1] https://www.openssl.org/news/secadv/20160926.txt

[2] https://www.openssl.org/source/

이상입니다.

금일(2015/12/18) 오전, 국내외 다수 사이트에서 인증서 오류로 인한 로그인 불가 문제가 발생 하였습니다. 발생 원인은 SSL 인증 기관인 COMODO 미국 본사 중계 인증서 작업 중 오류로 인한 것으로 이와 관련된 인증서가 적용된 사이트 접속 시 오류가 발생되었다고 합니다.
대외 서비스중인 사이트에 해당 인증서를 사용할 경우 접속 불가 등의 이슈가 발생 할 수 있습니다.
----------------------------------------------------------------------------------

COMODO 인증서(SHA1) 적용 사이트 접속 불가 이슈 관련 조치 안내

□ 개요
o 금일 아침 국내외 다수 사이트에서 인증서 오류로 인한 로그인 불가 문제 발생
o SSL 인증기관인 COMODO 미국 본사 중계 인증서 작업 중 오류로 인하여 SHA1
알고리즘으로 발급된 인증서에 일부 오류 발생으로 사이트 접속 시 오류가 발생됨
 
□ 영향 받는 사이트
o SHA1 알고리즘을 사용하는 COMODO 인증서가 적용된 사이트
 
□ 조치 방안
o 해당 인증서로 구동되는 사이트를 확인하여 인증기관을 통해 SHA2  알고리즘으로

적용된 인증서 재발급/적용
o 추가로 SHA1알고리즘으로 적용된 SSL통신은 2016년 1월1일부로 일부 브라우저에서 경고

  표시가 됨에 따라, 이에 갱신이 필요한 실정임
   - 구글 : 2016년 1월 1일 이후부터 크롬 버전에 따라 SHA1 에 아이콘 모형으로 경고 표시
   - 마이크로소프트 :  2017년 1월 1일 이후 SHA1 인증서가 설치된 사이트들은 신뢰하지 않음

□ 참고사이트
   [1] https://blog.comodo.com/comodo-news/comodo-announces-code-signing-with-certificate-manager/
   [2] https://www.kicassl.com/cstmrsuprt/ntc/searchNtcDetail.sg?page=2&ntcSeq=618&mode=&searchType=subject&searchWord=&searchRowCnt=10

NTP 서버 보안

사용중인 ntp 서버 취약점 점검 사이트

http://openntpproject.org/

리눅스 GNU C 라이브러리(glibc)에서 원격코드 실행이 가능한 취약점(CVE-2015-0235)을 발견되었습니다.

glibc (GNU C 라이브러리)는 GNU 프로젝트의 일환으로 만든 C 표준 라이브러리의 한 종류로 응용 프로그램이

아니라 사실상 모든 응용 프로그램이 사용하는 라이브러리 입니다. 

Linux 시스템에서는 예외없이 glibc가 사용되고 있습니다. 

----------------------------------------------------------------------------------------------------------------------------

리눅스 Ghost 취약점 보안 업데이트 권고

□ 개요

o  GNU C 라이브러리(glibc)의 버퍼 오버플로우 취약점

o  네트워크 연결 시 자주 쓰이는 gethostbyname(), gethostbyname2() 함수 호출 시 취약한 함수가 호출됨

o  외부의 공격자는 취약한 서버에서 원격으로 임의의 코드를 실행시킬 수 있음

□ 취약한 버전

o glibc 2.2 ~ 2.17

o glibc 2.18 이후 버전은 취약점 없음

□ 해결방안

o glibc 2.2~2.17 사용자는 해당 하위 버전별로 최신 업데이트가 필요

o 아래 배포판 리눅스 사용자는 링크를 참고하여 업데이트

※ CentOS

- CentOS 5 : http://lists.centos.org/pipermail/centos-announce/2015-January/020906.html

               glibc-2.5-123.el5_11.1 이상 버전으로 업데이트

- CentOS 6 : http://lists.centos.org/pipermail/centos-announce/2015-January/020907.html

               glibc-2.12-1.149.el6_6.5 이상 버전으로 업데이트

- CentOS 7 : http://lists.centos.org/pipermail/centos-announce/2015-January/020908.html

               glibc-2.17-55.el7_0.5 이상 버전으로 업데이트

※ Debian : https://security-tracker.debian.org/tracker/CVE-2015-0235

- eglibc 2.11.3-4 이하 버전은 eglibc 2.11.3-4+deb6u4로 업데이트

- eglibc 2.13-38+deb7u6 이하 버전은 2.13-38+deb7u7로 업데이트

※ Redhat

- Redhat 5 : https://rhn.redhat.com/errata/RHSA-2015-0090.html

glibc-2.5-123.el5_11.1 이상 버전으로 업데이트

- Redhat 6 : https://rhn.redhat.com/errata/RHSA-2015-0092.html

glibc-2.12-1.149.el6_6.5 이상 버전으로 업데이트

- Redhat 7 : https://rhn.redhat.com/errata/RHSA-2015-0092.html

glibc-2.17-55.el7_0.5 이상 버전으로 업데이트

※ Ubuntu : http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-0235.html

- Ubuntu 10.04 LTS - eglibc 2.11.1-0ubuntu7.20으로 업데이트

- Ubuntu 12.04 LTS - eglibc 2.15-0ubuntu10.10으로 업데이트

□ 참고 사이트

[1] http://lists.centos.org/pipermail/centos/2015-January/149413.html

[2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=776391

[3] https://access.redhat.com/articles/1332213

[4] http://www.ubuntu.com/usn/usn-2485-1

[5] https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

[6] http://ma.ttias.be/critical-glibc-update-cve-2015-0235-gethostbyname-calls/