20.10.10 ( HEH가 발견된 새로운 P2P 봇넷, PASS 인증서 선정, 안티바이러스 제품 및 시스코 제품 취약점 주의 )

1. HEH가 발견된 새로운 P2P 봇넷

 

새로운 P2P 봇넷이 발견되었습니다. 이는 IoT 장비들의 텔넷 서비스를 장학하며 이름은 HEH라고 합니다. 기존 IoT 봇넷이 장비 자체에 큰 영향을 미치지 않았지만 이번 HEH은 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있다고 합니다😒

 

HEH는 서버, 라우터 등 여러 IoT 장비에 Brute force Attack을 실시한다고 합니다. 특히 포트 23번과 2323번이 인터넷에 노출된 장비들이 주요 공략 대상이라고 합니다. 멀웨어 자체는 GO 언어로 작성되었으며, 감염된 장비들은 사유 프로토콜을 통해 이뤄진다고 하네요.

 

HEH는 총 3개의 요소로 P2P 모듈, 증식을 위한 모듈, 로컬 HTTP 서비스로 이루어져 있다고 합니다.😊

 

HEH는 다음과 같은 진행으로 이루어진다고 합니다👀

• 장비 감염 후 진행되는 다수의 서비스들 종료
• HTTP 서버 시작 (세계 인권 선언('Universal Declaration of Human Rights)'라는 7가지 언어로 나타난다고 합니다.)
• 봇넷에 연결되어 있는 피어로부터 다른데이터를 받아와 기존 데이터들을 덮어씌움 (데이터 삭제)

HEH 봇넷은 다음과 같은 이유로 최근 등장하고 있는 멀웨어들 사이에서 나타나는 유행을 따르고 있으며, 아직 개발 단계에 있을 것이라고 합니다.

• SSH를 표적으로 하고 있음
• GO 프로그래밍 언어 사용

특히 GO 프로그래밍 사용은 이전 IoT 봇넷의 대표 주자였던 미라이를 비롯해 여러 멀웨어들이 C와 Perl, C++로 작성되었다는 것과 차별화 된다고 합니다. 올해만 해도 GO 언어로 만들어진 멀웨어가 자주 발견되고 있으며 SSH를 통해 구성되는 P2P 봇넷도 자주 등장하고 있다고 하네요😐

 

물론 GO 언어를 사용한다고 해서 방어 체계가 완전히 뒤집히는 것은 아니며, 기존 솔루션들로도 어느 정도 대처가 가능하다고 합니다. 그리고 현재까지는 HEH가 커다란 위협 요소는 아니라고 하지만 경계심을 늦춰서도 안된다고 합니다😀

 

 

 

 

2. 공공분야 전자서명 확대 도입을 위한 PASS 인증서 선정

 

정부가 추진 중인 '공공분야 전자서명 확대 도입을 위한 시범사업' 후보자로 통신3사와 핀테크 보안기업 ATON이 운영하는 패스 인증서가 1차 선정되었다고 합니다.😀

 

지난 5월에 개정된 전자서명법이 올 해 12월 10일 시행될 예정임에 따라 공인인증서 외 민간 전자서명 서비스를 공공웹사이트에 조기 도입하여, 변화를 체감할 수 있도록 추진되었다고 합니다. 이에 내년 1월부터 여러 정부 사이트 등에서 공인인증서 외에 PASS 인증서를 이용할 수 있을 것이라고 합니다.😀

 

민간 전문가로 구성된 평가 위원회에서 여러 주요 평가항목으로 심사를 진행했으며, 12월까지 관리적·물리적·보안수준 등을 확인하기 위한 현장점검을 진행하고 최종심사를 거쳐 내년 1월부터 공공웹사이트에 PASS 인증서를 적용한다고 합니다.

 

PASS 인증서는 통신사의 명의자 정보를 확인할 뿐만 아니라, USIM 정보까지 추가로 확인하여 보안성 측면에서 높은 평가를 받았으며, 실제 서명 행위자가 맞는지 검증하는 로직이 반영되어 있다고도 합니다.😁

 

 

 

3. 안티바이러스 제품 및 시스코 제품 취약점 주의, 최신 버전 업데이트 필수

 

안티바이러스 제품과 시스코 제품에서 취약점이 다수나왔으며, 최신 버전으로 업데이트 할 것을 권고하고 있습니다. 다음은 취약점 정보입니다.😁

 

안티바이러스 제품 취약점

• Kaspersky(카스퍼스키) VPN Secure Connetion의 설치 엔진과 Virus Removal Tool 에서 발생하는 임의 파일 삭제 취약점(CVE-2020-25043, 25044)
• Kaspersky Security Center와 Web Console의 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2020-25045)
• McAfee Endpoint Security for Windows에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2020-7250)
• McAfee Total Protection Trial의 설치 엔진에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한 상승 취약점(CVE-2020-7310)
• Symantec의 Norton Power Eraser에서 발생하는 권한상승 취약점(CVE-2019-19548)
• Fortinet의 FortiClient for Windows online 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-9290)
• Check Point의 Endpoint Security Client, Endpoint Security VPN에서 실행 파일에 대한 검증이 미흡하여 발생하는권한상승 취약점(CVE-2019-8452)
• Trend Micro HouseCall for Home Network에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2019-14688, 19688, 19689)
• MS Window Defender에서 임의경로에 있는 파일을 삭제할 수 있는 권한상승 취약점(CVE-2019-1161)

시스코 제품 취약점

• Cisco Webex Teams client에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-3535)
• Cisco Identity Services Engine의 Web Interface에서 접근통제가 미흡하여 보안기능을 우회할 수 있는 취약점(CVE-2020-3467)
• Cisco Video Surveillance 8000 Series IP Cameras에서 Cisco Discovery 프로토콜 패킷에 대한 검증 기능이 부재하여 발생하는 임의코드 실행 취약점(CVE-2020-3544)

취약점들은 최신 버전의 업데이트로 조치할 수 있으니 최선 버전 업데이트를 꼭 하시길 바랍니다.😁

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91678&page=1&mkind=1&kind=1

이번엔 데이터 삭제 공격! 새로운 P2P 봇넷, HEH 발견돼

www.boannews.com/media/view.asp?idx=91679&page=1&mkind=1&kind=3

공공분야 전자서명 확대 도입을 위한 시범 사업에 PASS 인증서 선정

www.dailysecu.com/news/articleView.html?idxno=114688

안티바이러스 제품 보안취약점 주의…최신 버전 업데이트 필수 - 데일리시큐

www.dailysecu.com/news/articleView.html?idxno=114757

시스코 제품 취약점 주의…원격코드실행 등 피해 발생 우려 - 데일리시큐