20.09.15 ( 기업들 랜섬웨어 대비, K-사이버방역 3차 추경사업, 이메일 조작 취약점 발견된 워드프레스 )
1. 여러 기업들을 향한 랜섬웨어, 이에 대한 대비는 ?
최근 LG전자와 SK하이닉스 등 여러 기업 대상으로 랜섬웨어 활동이 발생하고 있다고 합니다. 주요 사고 사례를 먼저 살펴보도록 합시다 :D
- 서버 보안 설정 미흡 사례
이는 보안 설정 미흡으로 감염 및 자료가 유출된 사례로서 쉬운 패스워드를 사용하거나 접근제어 정책 없이 외부에 원격포트로(3389, 22)로 접속 가능한 상태였다고 합니다. 또한 VPN 장비의 취약한 계정관리 및 보안 업데이트를 하지 않거나 보안지원이 종료된 운영체제 및 소프트웨어를 사용한 경우입니다.
- PC 보안 수칙 미이행
공문, 이력서, 견적서 등으로 위장한 랜섬웨어 악성메일의 첨부파일을 실행한 사례라고 합니다. 또한 취약한 버전의 브라우저를 사용해 랜섬웨어 악성코드가 포함된 웹사이트를 방문하거나 P2P 프로그램을 사용하여 파이을 실행한 경우도 있다고 하네요!
- NAS 보안 설정 미흡
NAS를 사용하는 곳에서 접근제어 없이 디폴트 관리자 패스워드를 사용하거나, 보안 업데이트를 적용하지 않아 발생한 사고라고 합니다.
그럼 랜섬웨어를 어떻게 대비해야할지 한번 알아보도록 합시다!
(1) 서버 보안 강화
- 보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 변경
- 운영체제 및 주요 프로그램 보안 업데이트 확인 및 적용
- 기본 원격 포트 사용 제한, 부득이하게 사용 시 OTP 등 추가 인증 강화
- VPN 장비 운영 시, 허용된 인가자와 단말기만 업무망에 접근 설정 및 추가 인증 강화
- 다수 서버 운영 시, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정
- 관리자 PC에 대해 주기적 보안 점검 및 인터넷망 분리 운영
- KISA의 보안 업데이트 권고사항 준수
(2) PC 보안 강화
- 피싱 메일 주의 및 본문 링크 클릭, 첨부파일 다운로드 및 실행 주의
- P2P 프로그램 사용 금지, 부득이하게 사용 시 다운로드 파일의 확장자 확인 후 실행
- 운영체제 및 주요 프로그램의 보안 업데이트 확인 및 적용
- 상용 메일을 통한 주요 업무 자료 송수신 금지, 부득이하게 사용 시 추가 인증 강화
(3) NAS 보안 강화
- 최초 설치 시 디폴트 관리자 패스워드 변경 후 사용
- 자동 업데이트 활성화하여 최신 펌웨어 유지
- 인터넷을 통한 직접 접속 차단
- 사내망에서 운영, 부득이하게 사용 시, 장비 비밀번호 관리 및 백업, 보안 업데이트
(4) 공통 보안 강화
- 네트워크와 분리된 오프라인 백업
- 자료 유출에 대비해 문서암호화 보안솔루션 도입
- 유추하기 어려운 패스워드 사용(기준권고 사항 : 영어+숫자 10자 이상, 영어+숫자+특수문자 8자 이상)
- 사용하지 않는 네트워크 서비스 비활성화
- 인가된 관리자만 접속할 수 있도록 접근제어
- 백신 설치 및 최신 버전 유지, 정기적 검사 실행
- 이상 징후 포착 및 침해 사고 발생 시,, KISA로 즉시 신고 및 안내가이드, 백업가이드 참고 대비
2. 과학기술정보통신부, K-사이버 방역 3차 추경사업
과학기술정보통신부(과기부)는 10일에 'K-사이버 방역' 관련 3차 추경 사업 착수 보고회를 온라인으로 개최했다고 합니다. 3차 추경에 포함된 사업은 'PC 원격보안 점검 서비스(내PC 돌보미), 'ICT 중소기업 정보보호 역량 강화 사업', '양자암호통신망 구축 시범사업' 등 총 3건이라고 하네요 :D
PC 원격보안점검 서비스는 보안전문가가 원격에서 PC 보안 수준을 점검하고 맞춤형 보안컨설팅을 제공하는 사업이라고 합니다. 인터넷을 이용하는 누구나 신청하여 서비스를 받을 수 있다고 하네요!
ICT 중소기업 정보보호 역량강화 사업은 ICT 중소 기업에 보안 컨설팅과 1,500만원의 제품 도입 비용을 제공한다고 합니다.
양자암호통신망 구축 시범사업은 공공, 의료 부문 등에 양자암호통신망을 구축하고 관련 응용 서비스 실증을 지원한다고 하네요! 아래는 사업 선정 결과입니다 :D
3. 이메일 조작 취약점 발견된 워드프레스 !
현재 워드프레스에서 이메일을 조작할 수 있는 취약점이 나왔다고 합니다! 우선 워드프레스를 기반으로 한 10만개 가량 웹사이트에서 발견이 되었다고 합니다. 이는 플러그인에서 기인하였으며, 익스플로잇 할 경우 이메일과 뉴스레터를 조작하여 사이트 사용자들을 공격할 수 있다고 합니다.
이 플러그인은 사이트 관리자들이 고객들에게 쉽게 뉴스레터와 알림 이메일을 보낼 수 있게 해주는 것이라고 합니다. 만약 이 플러그의 취약점을 익스플로잇 한다면 이메일 내용물을 쉽게 바꿀 수 있다고 하네요!
이 취약점은 CVE-2020-5780으로, CVSS를 기준으로 7.5를 받았다고 합니다. 이는 class-es-newsletters.php 클래스에서 발견된 이메일 조작 및 스푸핑 취약점으로 정의할 수 있습니다. 또한 이를 발견한 보안 업체 테너블(Tenable)은 보안 권고문을 통해 "인증을 통과하지 못한 사용자가 에이젝스 요청을 admin_ini 후크로 전송할 수 있게 해주는 취약점이며, 이를 통해 process_broadcast_submission 함수에 대한 호출이 발동된다"라고 설명했다고 합니다. 그리고 이는 인증절차가 부실하기 때문이라고 덧붙여 설명했다고 합니다 :D
공격 시나리오는 다음과 같다고 하네요!
-> 공격자가 취약한 플러그인이 설치된 워드프레스 발견
-> 특수하게 조작된 요청을 워드프레스 서버로 전송
-> 요청은 새로운 뉴스레터가 사이트에 등록된 모든 사용자에게 전송되도록 하는 기능 포함
이 취약점은 4.5.6이하 버전에 영향을 준다고 합니다. 패치가 된 사항으로 4.5.6 버전 이상으로 업그레드하면 문제가 해결된다고 하네요 :D
출처
www.dailysecu.com/news/articleView.html?idxno=113673
LG전자와 SK하이닉스 등 기업들 랜섬웨어 공포…어떻게 대비해야 하나 - 데일리시큐
최근 LG전자와 SK하이닉스 등 기업 대상 랜섬웨어 감염 및 정보유출 사고가 지속적으로 발생하고 있다. 각 기업의 철저한 보안 점검 및 대비가 필요한 시점이다.주요 사고 사례를 원인을 살펴보��
www.dailysecu.com
과기정통부, 'K-사이버 방역' 사업 추진
과학기술정보통신부는 10일 'K-사이버 방역' 관련 3차 추가경정예산(추경) 사업 착수 보고회를 온라인으로 개최했..
www.ahnlab.com
www.boannews.com/media/view.asp?idx=91159
이메일 조작 취약점 발견된 워드프레스, 현재 해커들끼리의 싸움거리
10만 개가 넘는 워드프레스 기반 웹사이트들에서 고위험군 취약점이 발견됐다. 인기 높은 워드프레스용 플러그인에 기인한 것으로, 공격자들이 이를 익스플로잇 할 경우 각종 이메일과 뉴스레��
www.boannews.com