[EhostIDC] ‘마이랜섬’랜섬웨어 피해 예방을 위한 보안 강화 권고

안녕하세요 이호스트데이터센터 입니다 

최근 다양한 침해시도 및 사고가 빈번히 발생하고 있습니다.

해당 메일을 수신한 전산 담당자께서는 아래 내용 확인하시어 피해를 입는 사례가 없도록 관리하시기 바랍니다

 

 

□ 개요

 o 최근 국내를 타깃으로 마이랜섬(Magniber, 매그니베르) 랜섬웨어의 유포로 피해가 발생하고 있어 주의 필요

 o 공격자는 웹사이트의 광고 사이트에 악성코드를 심어 랜섬웨어를 유포하는 멀버타이징 방식을 사용하며, 컴퓨터의 파일을

    암호화한 후 해독키를 제공하는 대가로 금전을 요구

 

□ 주요내용

 o 최근에 발견된 신규 랜섬웨어이인 마이랜섬은 국내 사용자들을 타깃으로 제작

 o 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 이용하여 광고 사이트에 악성코드를 심어 유포하는 멀버타이징

    (Malvertising) 방식 이용

    ※ 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit) : 컴퓨터에 설치된 익스플로러(IE), 자바(JAVA), 플래시(Flash)

        내에 있는 취약점을 악용해 다른 악성코드를 설치하도록 하는 도구

    ※ 멀버타이징(Malvertising) : 악성코드(Malware)와 광고(Advertising)의 합성어로 광고 서버를 해킹하여 악성코드를

        유포하는 공격기법

 o 특히, 파일 암호화 전 사용자의 PC가 한국어 환경인지 확인(한국어 윈도우 운영체제 여부 검사)한 후, hwp 문서를 비롯한

    800여개 이상의 파일을 암호화함

 

□ 대응방안

 o 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용

 o 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행

 o 출처가 불분명한 메일 또는 링크의 실행 주의

 o 중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리

 o 이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고 등

    ※ 보호나라 홈페이지 – 상담 및 신고 - 해킹사고

 

-------------------------------------------------------------------------------------------------------------------------------------------

 

□ 개요
 o Cisco社는 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지
 o 공격자는 해당 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Cisco 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

□ 설명
 o Cisco IOS XE 웹 프레임 워크에서 서버에 전달되는 매개변수 값에 대한 검증이 미흡하여 발생하는 XSS 취약점(CVE-2017-12272)[1]
 o Cisco IOS XE에서 로그파일을 기록할 때 디버그 오류로 인해 발생하는 정보 노출 취약점(CVE-2017-12289)[2]
 o Cisco Expressway Series 및 Cisco TelePresence Video Communication Server의 잘못된 클러스터 DB 인증 구성으로 인해
    REST API 서비스 거부 취약점(CVE-2017-12287)[3]
 o Cisco Jabber 클라이언트 웹 인터페이스에서 공격자가 인증우회를 통해 사용자 프로필 정보를 검색할 수 있어 발생하는
    정보 노출 취약점(CVE-2017-12284, CVE-2017-12286)[4][5]
 o Cisco Network Analysis Module의 웹 인터페이스에서 공격자가 인증우회를 통해 시스템 파일을 삭제할 수 있는
    취약점(CVE-2017-12285)[6]
 o Cisco NX-OS에서 샌드박스 내 잘못된 구성의 함수로 인하여 공격자가 사용자 권한으로 로컬 운영체제에 접근이 가능한
    취약점(CVE-2017-12301)[7]
 o Cisco NX-OS에서 샌드박스 내 잘못된 구성의 함수로 인하여 공격자가 사용자 권한으로 로컬 운영체제에 접근이 가능한
    취약점(CVE-2017-12301)[8]
 o Cisco SPA300 및 SPA500 시리즈의 보안기능 미흡으로 인해인증되지 않은 공격자가 원격으로 접속할 수 있는 CSRF
    취약점(CVE-2017-12271)[9]
 o Cisco Unified Contact Center Express의 웹 기반 관리 인터페이스에서 입력 값 검증 미흡으로 인해 발생하는 XSS
    취약점(CVE-2017-12288)[10]
 o Cisco WebEx Meeting Center의 입력 값 검증 미흡으로 인해 발생하는 XSS 취약점(CVE-2017-12298)[11]
 o Cisco WebEx Meetings의 연결 수 제한으로 인해 발생하는 서버 서비스 거부 취약점(CVE-2017-12293)[12]
 o Cisco WebEx Meetings의 입력 값 검증 미흡으로 인해 발생하는 서버 XSS 취약점(CVE-2017-12296)[13]
 o Cisco Small Business SPA50x, SPA51x, SPA52x 시리즈의 Session Initiation Protocol 기능의 문제로 인해 발생하는
    서비스 거부 취약점(CVE-2017-12259, CVE-2017-12260)[14][15]
 o Cisco FXOS 및 NX-OS에서 인증, 권한 부여 메시지 수신을 정상적으로 받지 못하여 발생하는 서비스 거부
    취약점(CVE-2017-3883)[16]
 o Cisco Cloud Service Platform 2100의 웹 콘솔에서 비정상적인 URL 처리 방식으로 인해 발생하는 무단 Access
    취약점(CVE-2017-12251)[17]
 o Cisco Nexus 시리즈 스위치에서 공격자가 사용자 권한으로 파일 정보를 노출시킬 수 있는 CLI 명령 주입
    취약점(CVE-2017-6649)[18]
 o Cisco 다수 장비에서 발생하는 KRACK Wi-Fi 암호기술(WPA2) 취약점(CVE-2017-13077, CVE-2017-13078,
    CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084,
    CVE-2017-130866, CVE-2017-13087, CVE-2017-13088)[19]
 
□ 영향을 받는 제품 및 버전
 o 참고사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 제품 확인

□ 해결 방안
 o 취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco장비의 운영자는 해당사이트에 명시되어 있는 ‘Affected Products’ 내용을
    확인하여 패치 적용

[참고사이트]
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-cisco-ios-xe
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-cisco-ios-xe1
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-expressway-tp-vcs
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-jab
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-jab1
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-nam
[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ppe
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-spa
[9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ucce
[10] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-wmc1
[11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-wmc1
[12] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-wms
[13] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-wms1
[14] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip
[15] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip1
[16] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip1
[17] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ccs
[18]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170517-nss
[19] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

-------------------------------------------------------------------------------------------------------------------------------

 

□ 개요
 o Infineon Technologies社 칩셋 제품(TPM)에서 발생하는 ROCA(Coppersmith Return of Coppersmith Attack)취약점이 공개됨[1]
 o 영향 받는 버전 사용자는 해결방안에 따라 최신버전으로 업데이트 권고
 
□ 내용
 o 칩셋 암호화 라이브러리에서 공격자가 공개키를 알 경우, 인수분해를 통하여 RSA로 암호화된 비밀키의 정보유출이
    가능한 취약점(CVE-2017-15361)
 
□ 해결 방안
 o 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 업데이트 수행
  - Microsoft [2]
  - Chrome OS [3]
  - HP [4]
  - Lenovo [5]

□ 용어 설명
 o TPM(Trusted Platform Module) : RSA와 SHA-1 등의 암호화 기법으로 패스워드나 디지털 인증서, 암호화 Key를 저장하여
    메인보드 내부에서 하드웨어 장치들과 통신하는 칩셋 모듈
 
[참고사이트]
[1] https://www.infineon.com/cms/en/product/promopages/tpm-update/
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012
[3] https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update
[4] https://support.hp.com/us-en/document/c05792935
[5] https://support.lenovo.com/us/en/product_security/LEN-15552

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------

 

□ 개요
 o 오라클社 CPU에서 자사 제품의 보안취약점 252개에 대한 패치를 발표 [1]
    ※ CPU(Critical Patch Update) : 오라클 중요 보안 업데이트
 o 영향 받는 버전의 사용자는 악성코드 감염에 취약할 수 있으므로, 아래 해결방안에 따라 최신버전으로 업데이트 권고
 
□ 영향을 받는 시스템
 o Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versions prior to XCP2340 and prior to XCP3030
 o Java Advanced Management Console, version 2.7
 o JD Edwards EnterpriseOne Tools, version 9.2
 o JD Edwards World Security, versions A9.1, A9.2, A9.3, A9.4
 o Management Pack for Oracle GoldenGate, version 11.2.1.0.12
 o MICROS Retail XBRi Loss Prevention, versions 10.0.1, 10.5.0, 10.6.0, 10.7.7, 10.8.0, 10.8.1
 o MySQL Connectors, versions 6.9.9 and prior
 o MySQL Enterprise Monitor, versions 3.2.8.2223 and prior, 3.3.4.3247 and prior, 3.4.2.4181 and prior
 o MySQL Server, versions 5.5.57 and prior, 5.6.37 and prior, 5.7.19 and prior
 o Oracle Access Manager, version 11.1.2.3.0
 o Oracle Agile Engineering Data Management, versions 6.1.3, 6.2.0
 o Oracle Agile PLM, versions 9.3.5, 9.3.6
 o Oracle API Gateway, version 11.1.2.4.0
 o Oracle BI Publisher, versions 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle Business Intelligence Enterprise Edition, versions 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle Business Process Management Suite, versions 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle Communications Billing and Revenue Management, version 7.5
 o Oracle Communications Diameter Signaling Router (DSR), version 7.x
 o Oracle Communications EAGLE LNP Application Processor, version 10.x
 o Oracle Communications Messaging Server, version 8.x
 o Oracle Communications Order and Service Management, versions 7.2.4.x.x, 7.3.0.x.x, 7.3.1.x.x, 7.3.5.x.x
 o Oracle Communications Policy Management, versions 11.5, 12.x
 o Oracle Communications Services Gatekeeper, versions 5.1, 6.0
 o Oracle Communications Unified Session Manager, version SCz 7.x
 o Oracle Communications User Data Repository, version 10.x
 o Oracle Communications WebRTC Session Controller, versions 7.0, 7.1, 7.2
 o Oracle Database Server, versions 11.2.0.4, 12.1.0.2, 12.2.0.1
 o Oracle Directory Server Enterprise Edition, version 11.1.1.7.0
 o Oracle E-Business Suite, versions 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
 o Oracle Endeca Information Discovery Integrator, versions 2.4, 3.0, 3.1, 3.2
 o Oracle Engineering Data Management, versions 6.1.3.0, 6.2.2.0
 o Oracle Enterprise Manager Ops Center, versions 12.2.2, 12.3.2
 o Oracle FLEXCUBE Universal Banking, versions 11.3, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.3.0, 12.4.0
 o Oracle Fusion Applications, versions 11.1.2 through 11.1.9
 o Oracle Fusion Middleware, versions 11.1.1.7, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0, 12.2.1.1, 12.2.1.2, 12.2.1.3
 o Oracle GlassFish Server, versions 3.0.1, 3.1.2
 o Oracle Healthcare Master Person Index, version 4.x
 o Oracle Hospitality Cruise AffairWhere, versions 2.2.5.0, 2.2.6.0, 2.2.7.0
 o Oracle Hospitality Cruise Fleet Management, version 9.0.2.0
 o Oracle Hospitality Cruise Materials Management, version 7.30.564.0
 o Oracle Hospitality Cruise Shipboard Property Management System, version 8.0.2.0
 o Oracle Hospitality Guest Access, versions 4.2.0, 4.2.1
 o Oracle Hospitality Hotel Mobile, version 1.1
 o Oracle Hospitality OPERA 5 Property Services, versions 5.4.2.x through 5.5.1.x
 o Oracle Hospitality Reporting and Analytics, versions 8.5.1, 9.0.0
 o Oracle Hospitality Simphony, versions 2.6, 2.7, 2.8, 2.9
 o Oracle Hospitality Suite8, versions 8.10.1, 8.10.2
 o Oracle HTTP Server, versions 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle Hyperion BI+, version 11.1.2.4
 o Oracle Hyperion Financial Reporting, version 11.1.2
 o Oracle Identity Manager, version 11.1.2.3.0
 o Oracle Identity Manager Connector, version 9.1.1.5.0
 o Oracle Integrated Lights Out Manager (ILOM), versions prior to 3.2.6
 o Oracle iPlanet Web Server, version 7.0
 o Oracle Java SE, versions 6u161, 7u151, 8u144, 9
 o Oracle Java SE Embedded, version 8u144
 o Oracle JDeveloper, versions 12.1.3.0.0, 12.2.1.2.0
 o Oracle JRockit, version R28.3.15
 o Oracle Managed File Transfer, versions 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle Outside In Technology, version 8.5.3.0
 o Oracle Retail Back Office, versions 13.2, 13.3, 13.4, 14.0, 14.1
 o Oracle Retail Clearance Optimization Engine, version 13.4
 o Oracle Retail Convenience and Fuel POS Software, version 2.1.132
 o Oracle Retail Markdown Optimization, versions 13.4, 14.0
 o Oracle Retail Point-of-Service, versions 6.0.x, 6.5.x, 7.0.x, 7.1.x, 15.0.x, 16.0.0
 o Oracle Retail Store Inventory Management, versions 13.2.9, 14.0.4, 14.1.3, 15.0.1, 16.0.1
 o Oracle Retail Xstore Point of Service, versions 6.0.11, 6.5.11, 7.0.6, 7.1.6, 15.0.1
 o Oracle Secure Global Desktop (SGD), version 5.3
 o Oracle SOA Suite, version 11.1.1.7.0
 o Oracle Transportation Management, versions 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2
 o Oracle Virtual Directory, versions 11.1.1.7.0, 11.1.1.9.0
 o Oracle VM VirtualBox, versions prior to 5.1.30
 o Oracle WebCenter Content, versions 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
 o Oracle WebCenter Sites, versions 11.1.1.8.0, 12.2.1.2.0
 o Oracle WebLogic Server, versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
 o PeopleSoft Enterprise FSCM, version 9.2
 o  PeopleSoft Enterprise HCM, version 9.2
 o PeopleSoft Enterprise PeopleTools, versions 8.54, 8.55, 8.56
 o PeopleSoft Enterprise PRTL Interaction Hub, version 9.1.00
 o PeopleSoft Enterprise PT PeopleTools, versions 8.54, 8.55, 8.56
 o PeopleSoft Enterprise SCM eProcurement, versions 9.1.00, 9.2.00
 o Primavera Unifier, versions 9.13, 9.14, 10.x, 15.x, 16.x
 o Siebel Applications, versions 16.0, 17.0
 o Solaris Cluster, versions 3.3, 4.3
 o SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versions prior to XCP 1123
 o SPARC M7, T7, S7 based Servers, versions prior to 9.7.6.b
 o Sun ZFS Storage Appliance Kit (AK), version AK 2013
 o Tekelec HLR Router, version 4.x
 
□ 해결 방안
 o "Oracle Critical Patch Update Advisory - July 2017“ 문서 및 패치사항을 검토하고 벤더사 및 유지보수 업체와

     협의/검토 후 패치 적용[1]
 o JAVA SE 사용자는 설치된 제품의 최신 업데이트를 다운로드[2] 받아 설치하거나, Java 업데이트 자동 알림 설정을 권고[3]

[참고사이트]
 [1] http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
 [2] http://www.oracle.com/technetwork/java/javase/downloads/index.html
 [3] http://www.java.com/ko/download/help/java_update.xml

 

 --------------------------------------------------------------------------------------------------------------------------------------

 이호스트데이터센터 Security & Mangement 서비스 소개

 

1. 백업(Backup)

보안 사고는 예방이 최선의 방법이지만 공격을 100% 방어할 수 있는 솔루션은 현재 존재하지 않습니다.

때문에 최소한의 장치로 OS 부터 어플리케이션, 데이터 영역을 주기적으로 백업하여 보안 사고 발생시 최신 데이터로

복원하는 것이 최선입니다. EhostIDC에서는 상용 백업 솔루션 Acronis 를 도입하여 피해 데이터를 최소한의 시간으로 복구할 수 있도록

지원합니다. 최소한의 비용으로 합리적인 서비스를 제공해 드립니다.

백업 용량 100G 제공 : 30,000원(VAT 별도)

 

2. 서버 자원 모니터링(Monitoring)

이호스트데이터센터에서 제공하는 모니터링 서비스는 2가지로 구분됩니다.

SMS(System Monitoring Service)

APM(Application process Monitoring)

SMS는 system 관리만으로 서비스 운영 파악이 충분히 가능한 경우 적용하시면 됩니다.

CPU, HDD/SSD, Memory, Server log, Network와 더불어 DB Application 모니터링을 제공하며

각각의 server가 개별적인 업무, 독립적인 구성이 되어 있는 서비스에 적합합니다.

APM은 시간의 흐름에 따라 실시간 web-instance 추적을 통해 특정 시점 단계를 추적할 수 있습니다.

SMS 보다 구체적인 모니터링이 제공됩니다.

이호스트데이터센터를 통해 합리적인 가격으로 SMS와 APM을 이용하시어 안정적으로 IT 인프라를 운영하시기 바랍니다.

SMS : 19,000원(VAT 별도)/Server

APM : 30,000원(VAT 별도)/Core

 

3. 보안관제

랜섬웨어 등 새로운 유형의 공격을 비롯하여, SQL Injection · XSS 스트립팅과 같은 전통적인 보안 취약점을 이용한 공격이

지속적으로 발생하고 있습니다.

네트워크의 기본 구조인 L3, L2 스위치에서 서버 Zone으로 트래픽이 발생하고 있다면

침해사고 발생시 어떤 경로에서 어떤 원인을 통해 사고가 발생했는지 알 수 없습니다.

이호스트에서는 Web firewall, IPS 방화벽, 차세대 방화벽을 별도로 제공하며,

더불어 해당 장비를 통한 보안관제 서비스를 제공하고 있습니다.

보안관제 서비스 제공 방식은 초기 보안장비 구축 시 공격에 대한 탐지 기간 제공 후

유효한 공격에 대해 차단 모드를 적용합니다.

 

서비스 관련하여 궁금하신 사항이나 정확한 서비스 컨설팅을 원하시면

메일(request@ehostidc.co.kr)이나 전화 (070-7600-5512)로 연락 바랍니다.

감사합니다.

 

이호스트데이터센터 드림