□ 개 요
o 외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로한 사이버 공격 대비 주의 당부
* Generic Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management Protocol(SNMP)
□ 주요 내용
o (정보수집) 외부에서 접근 가능한 운영 장비 탐색*
* Telnet(포트 23), HyperText Transfer Protocol(HTTP, 포트 80), Simple Network Management Protocol(SNMP,
포트 161/162), Cisco Smart Install(SMI, 포트 4786)
o (감염시도) 탐색을 통해 수집한 장비를 대상으로 특수하게 조작된 SNMP 및 SMI 패킷 전송함
o (악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드 설치
o (명령 및 제어) 공격자는 악성코드를 통해 장비 제어
□ 대응방안
o 비암호화 프로로토콜을 사용하는 Telnet 및 SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH 및 SNMPv3과
같은 최신 암호화된 프로토콜 사용권고
o 외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI 등) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한
접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토
o SMI 활성화 여부 확인 및 공격 시도 탐지
- (SMI 활성화 확인) 다음 명령을 통해 활성화 확인
※ (명령) show vstack config | inc
※ (명령) show tcp brief all
- (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios 및 execute의 사용을 감지
※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established;
content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)
※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established;
content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)
※ alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content:
"|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)
o 인가되지 않은 IP주소로부터 접근하는 GRE 트래픽의 유무 또는 알 수 없는 GRE 터널의 생성, 수정 또는 삭제 로그가
있는지 검사
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA18-106A
[2] https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastr
----------------------------------------------------------------------------------------------------------------------
Adobe 제품군 보안 업데이트 권고
□ 개요
o Adobe社는 Adobe Flash Player, Experience Manager, InDesign 외 3개의 제품에 영향을 주는 취약점을 해결한
보안 업데이트 발표 [1]
o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결 방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o Adobe Flash Player에서 발생하는 6개의 취약점을 해결하는 보안 업데이트 발표 [2]
- 원격 코드 실행을 가능하게 하는 Use-After-Free 취약점(CVE-2018-4932)
- 정보 노출로 이어질 수 있는 Out-of-Bounds 읽기 취약점(CVE-2018-4933)
- 정보 노출로 이어질 수 있는 Out-of-Bounds 읽기 취약점(CVE-2018-4934)
- 원격 코드 실행을 가능하게 하는 Out-of-Bounds 쓰기 취약점(CVE-2018-4935)
- 정보 노출로 이어질 수 있는 힙 오버플로우 취약점(CVE-2018-4936)
- 원격 코드 실행을 가능하게 하는 Out-of-Bounds 쓰기 취약점(CVE-2018-4937)
o Adobe Experience Manager에서 발생하는 3개의 취약점을 해결하는 보안 업데이트 발표 [3]
- 정보 노출로 이어질 수 있는 크로스 사이트 스크립팅(Stored) 취약점(CVE-2018-4929)
- 정보 노출로 이어질 수 있는 크로스 사이트 스크립팅 취약점(CVE-2018-4930)
- 정보 노출로 이어질 수 있는 크로스 사이트 스크립팅(Stored) 취약점(CVE-2018-4931)
o Adobe InDesign CC에서 발생하는 2개의 취약점을 해결하는 보안 업데이트 발표 [4]
- 권한 상승을 가능하게 하는 신뢰하지 못하는 경로에 대한 탐색 취약점(CVE-2018-4927)
- 임의 코드 실행을 가능하게 하는 메모리 손상 취약점(CVE-2018-4928)
o Adobe Digital Editions에서 발생하는 2개의 취약점을 해결하는 보안 업데이트 발표 [5]
- 정보 유출로 이어질 수 있는 Out-of-Bounds 읽기 취약점(CVE-2018-4925)
- 정보 유출로 이어질 수 있는 스택 오버플로우 취약점(CVE-2018-4926)
o Adobe ColdFusion에서 발생하는 5개의 취약점을 해결하는 보안 업데이트 발표 [6]
- 권한 상승을 가능하게 하는 안전하지 않은 라이브러리 로딩 취약점(CVE-2018-4938)
- 원격 코드 실행을 가능하게 하는 신뢰하지 못하는 데이터의 비직렬화 취약점(CVE-2018-4939)
- 정보 유출로 이어질 수 있는 크로스 사이트 스크립팅 취약점(CVE-2018-4940)
- 정보 유출로 이어질 수 있는 크로스 사이트 스크립팅 취약점(CVE-2018-4941)
- 정보 유출로 이어질 수 있는 안전하지 않은 XXE 처리 취약점(CVE-2018-4942)
□ 영향을 받는 제품 및 버전
o Adobe Flash Player
소프트웨어 명 동작 환경 영향 받는 버전
Adobe Flash Player Desktop Runtime Windows, Mac, Linux 29.0.0.113 및 이전 버전
Adobe Flash Player for Google Chrome Windows, Mac, Linux, Chrome OS 29.0.0.113 및 이전 버전
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 Windows 10, 8.1 29.0.0.113 및 이전 버전
o Adobe Experience Manager
소프트웨어 명 동작 환경 영향 받는 버전
Adobe Experience Manager All 6.3
6.2
6.1
6.0
o Adobe InDesign CC
소프트웨어 명 동작 환경 영향 받는 버전
Adobe InDesign CC Windows, Mac 13.0 및 이전 버전
o Adobe Digital Editions
소프트웨어 명 동작 환경 영향 받는 버전
Adobe Digital Editions Windows, Mac, iOS, Android 4.5.7 및 이전 버전
o Adobe ColdFusion
소프트웨어 명 동작 환경 영향 받는 버전
ColdFusion (2016 Release) All Update 5 및 이전 버전
ColdFusion 11 All Update 13 및 이전 버전
o Adobe PhoneGap Push plugin
소프트웨어 명 동작 환경 영향 받는 버전
Adobe PhoneGap Push plugin All 1.8.0 이전 버전
□ 해결 방안
o Adobe Flash Player 사용자
- Windows, Mac, Linux 환경의 Adobe Flash Player Desktop runtime 사용자는 29.0.0.140 버전으로 업데이트 적용
· Adobe Flash Player Download Center(https://get.adobe.com/flashplayer/)에 방문하여 최신 버전을 설치하거나,
자동 업데이트를 이용하여 업그레이드
- Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
- Windows 10 및 Windows 8.1에서 Microsoft Edge, 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는
자동으로 최신 업데이트가 적용
o Adobe Experience Manager 사용자
- Adobe Experience Manager 사용자는 아래 링크를 참고하여 사용 중인 버전에 해당하는 업데이트 적용
※ 참고 : https://helpx.adobe.com/experience-manager/aem-releases-updates.html-2
o Adobe InDesign 사용자
- 윈도우즈, 맥 환경의 Adobe InDesign 사용자는 13.1 버전으로 업데이트 적용
※ 참고 : https://helpx.adobe.com/indesign/release-note/indesign-cc-march-2018-13-1-release-notes.html
o Adobe Digital Editions 사용자
- 윈도우즈, 맥, iOS, 안드로이드환경의 Adobe Digital Editions 사용자는 4.5.8 버전으로 업데이트 적용
※ 윈도우즈, 맥 다운로드 : https://www.adocbe.com/solutions/ebook/digital-editions/download.html
※ iOS 다운로드 : https://itunes.apple.com/us/app/adobe-digital-editions/id952977781?mt=8
※ 안드로이드 다운로드 : https://play.google.com/store/apps/details?id=com.adobe.digitaleditions
o Adobe ColdFusion 사용자
- ColdFusion (2016 버전) 사용자는 https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-6.html
사이트에 방문하여 핫픽스 설치
- ColdFusion 11 사용자는 https://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-14.htmll 사이트에
방문하여 핫픽스 설치
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://helpx.adobe.com/security.html
[2] https://helpx.adobe.com/security/products/flash-player/apsb18-08.html
[3] https://helpx.adobe.com/security/products/experience-manager/apsb18-10.html
[4] https://helpx.adobe.com/security/products/indesign/apsb18-11.html
[5] https://helpx.adobe.com/security/products/Digital-Editions/apsb18-13.html
[6] https://helpx.adobe.com/security/products/coldfusion/apsb18-14.html
------------------------------------------------------------------------------------------------
이호스트데이터센터 Security & Mangement 서비스 소개
1. 백업(Backup)
보안 사고는 예방이 최선의 방법이지만 공격을 100% 방어할 수 있는 솔루션은 현재 존재하지 않습니다.
때문에 최소한의 장치로 OS 부터 어플리케이션, 데이터 영역을 주기적으로 백업하여 보안 사고 발생시 최신 데이터로
복원하는 것이 최선입니다. EhostIDC에서는 상용 백업 솔루션 Acronis 를 도입하여 피해 데이터를 최소한의 시간으로 복구할 수 있도록
지원합니다. 최소한의 비용으로 합리적인 서비스를 제공해 드립니다.
백업 용량 100G 제공 : 30,000원(VAT 별도)
2. 서버 자원 모니터링(Monitoring)
이호스트데이터센터에서 제공하는 모니터링 서비스는 2가지로 구분됩니다.
SMS(System Monitoring Service)
APM(Application process Monitoring)
SMS는 system 관리만으로 서비스 운영 파악이 충분히 가능한 경우 적용하시면 됩니다.
CPU, HDD/SSD, Memory, Server log, Network와 더불어 DB Application 모니터링을 제공하며
각각의 server가 개별적인 업무, 독립적인 구성이 되어 있는 서비스에 적합합니다.
APM은 시간의 흐름에 따라 실시간 web-instance 추적을 통해 특정 시점 단계를 추적할 수 있습니다.
SMS 보다 구체적인 모니터링이 제공됩니다.
이호스트데이터센터를 통해 합리적인 가격으로 SMS와 APM을 이용하시어 안정적으로 IT 인프라를 운영하시기 바랍니다.
SMS : 19,000원(VAT 별도)/Server
APM : 30,000원(VAT 별도)/Core
3. 보안관제
랜섬웨어 등 새로운 유형의 공격을 비롯하여, SQL Injection · XSS 스트립팅과 같은 전통적인 보안 취약점을 이용한 공격이
지속적으로 발생하고 있습니다.
네트워크의 기본 구조인 L3, L2 스위치에서 서버 Zone으로 트래픽이 발생하고 있다면
침해사고 발생시 어떤 경로에서 어떤 원인을 통해 사고가 발생했는지 알 수 없습니다.
이호스트에서는 Web firewall, IPS 방화벽, 차세대 방화벽을 별도로 제공하며,
더불어 해당 장비를 통한 보안관제 서비스를 제공하고 있습니다.
보안관제 서비스 제공 방식은 초기 보안장비 구축 시 공격에 대한 탐지 기간 제공 후
유효한 공격에 대해 차단 모드를 적용합니다.
서비스 관련하여 궁금하신 사항이나 정확한 서비스 컨설팅을 원하시면
메일(request@ehostidc.co.kr)이나 전화 (070-7600-5512)로 연락 바랍니다.
감사합니다.
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| MS 5월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2018.05.09 |
|---|---|
| MS Spectre 변종 취약점 보안 업데이트 권고 (0) | 2018.05.02 |
| [이호스트데이터센터] MS 3월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2018.03.30 |
| [이호스트데이터센터] Samba 취약점 보안 업데이트 권고 (0) | 2018.03.30 |
| [EhostIDC] 포트 보안 (Port Security) (0) | 2018.03.21 |