이호스트ICT 공식 블로그

2019/05/07 +4
  • 보안이 취약한 SAP 시스템에 대한 공격기법 공개에 따른 보안 강화 권고

    2019.05.07

    뷰어로 보기
  • Dell SupportAssist Client 보안 업데이트 권고

    2019.05.07

    뷰어로 보기
  • Cisco 제품군 취약점 보안 업데이트 권고

    2019.05.07

    뷰어로 보기
  • Oracle WebLogic Server 원격코드 실행 보안 업데이트 권고

    2019.05.07

    뷰어로 보기

□ 개요
 o SAP社에서 개발한 SAP* 통합 업무용 솔루션의 보안 설정 취약점을 악용한 공격 코드가 공개되어 피해 예방을 위한 적극적인

    보안 설정 당부
     * Systems, Applications, and Product in Data Processing

□ 설명
 o SAP 게이트웨이 접근통제 부재
  - SAP 게이트웨이가 기본적으로 애플리케이션 간 통신을 허용하고 있어 접근제어 설정이 부재(예: gw/acl_mode=0)한 경우

     SAP 게이트웨이에서 임의 명령어 실행 가능

 o SAP 라우터 보안설정 부재
  - SAP 게이트웨이의 secinfo* 보안 설정이 부재한 경우 SAP 라우터에 임의 명령어 실행 가능
    * 인증되지 않은 사용자 및 시스템의 명령어 실행을 차단할 수 있는 설정 파일

 o SAP 메세지 서버 포트 인증 부재
  - SAP 메시지 서버의 특정 포트(TCP/3900번대)에 인증이 부재하여 공격자가 중간자 공격을 통해 계정정보(ID/Password)

     탈취 가능

□ 해결 방안
 o SAP 게이트웨이 보안 설정
  - 보안 설정 파일(gw/acl_mode, secinfo)을 통해 인증된 호스트만 접속할 수 있도록 설정
    ※ 아래 참고사이트[1]의 SAP Notes 1408081 참고

 o SAP 메시지 서버 보안 설정
  - 보안 설정 파일(ms/acl_info 파일)을 통해 인증된 호스트만 접속할 수 있도록 설정
    ※ 아래 참고사이트[2]의 SAP Notes 821875 참고
  - SAP 메시지 서버 특정 포트(TCP/3900번대)에 허용된 사용자 및 시스템만 접근할 수 있도록 방화벽 등을 통해 접근제어 설정

 o SAP 관련 시스템이 외부에 공개되지 않도록 방화벽 등을 통해 접근 통제 강화

□ 기타 문의사항
 o SAP 코리아 연락처 : 080-219-0114
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://launchpad.support.sap.com/#/notes/1408081
[2] https://launchpad.support.sap.com/#/notes/821875
[3] https://launchpad.support.sap.com/#/notes/1421005
[4] https://wiki.scn.sap.com/wiki/display/SI/Gateway+Access+Control+Lists
[5] https://help.sap.com/saphelp_nw74/helpdata/en/e2/16d0427a2440fc8bfc25e786b8e11c/content.htm?no_cache=true[6] https://www.onapsis.com/10kblaze

Comment +0

□ 개요

 o Dell社 SupportAssist Client의 취약점을 해결한 보안 업데이트 발표[1]

 o 낮은 버전을 사용중인 시스템은 악성코드 감염에 취약하므로 해결방안에 따라 최신버전으로 업데이트 권고

  ※ SupportAssist Client : Dell社에서 제조한 노트북과 PC에 기본으로 설치되어 각종 드라이버 탐지 및 설치를 지원하는 서비스 어플리케이션

 

□ 설명

 o SupportAssist Client에서 송신자 검증이 미흡하여 발생하는 CSRF 취약점(CVE-2019-3718) [2]

 o SupportAssist Client에서 임의 파일 다운로드 및 실행이 가능한 임의코드 실행 취약점(CVE-2019-3719) [3]

 

□ 영향을 받는 제품 및 버전

 o SupportAssist Client

  - 3.2.0.90 이전 버전

 

□ 해결 방안

 o SupportAssist Client

  - 최신버전(3.2.0.90)으로 업데이트 시행 [4]

 

□ 기타 문의사항

 o Dell 社

  - 개인고객 : 080-200-3800

  - 기업고객 : 080-854-0066

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] https://www.dell.com/support/article/kr/ko/krbsd1/sln316857/dsa-2019-051-dell-지원-클라이언트-여러-취약점?lang=ko

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3718

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3719

[4] https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe

Comment +0

□ 개요

 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]

 o 공격자는 해당 취약점을 이용하여 권한 탈취 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 할 것을 권고

 

□ 주요 내용

 o Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어의 SSH 기본 키를 공격자가 악용하여 발생하는 권한상승 취약점(CVE-2019-1804) [2]

 o Cisco Small Business Switches software에서 OpenSSH 인증 프로세스가 부적절하게 처리되어 발생하는 인증우회 취약점(CVE-2019-1859) [3]

 o Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers에서 세션 관리가 미흡하여 발생하는 세션 탈취 취약점(CVE-2019-1724) [4]

 o Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch 소프트웨어에서 TLS 사용자 인증서에 대한 유효성 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2019-1590) [5]

 

□ 영향을 받는 제품

 o Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode (CVE-2019-1590, 1804)

  - NX-OS 14.1(1i) 이전 버전

 

o Cisco Small Business Switches software

소프트웨어 버전

Cisco 스위치

1.4.10.6 이전 버전

Small Business 200 Series Smart Switches

Small Business 300 Series Managed Switches

Small Business 500 Series Managed Switches

2.5.0.78 이전 버전

250 Series Smart Switches

350 Series Managed Switches

350X Series Managed Switches

550X Series Stackable Managed Switches

 

 o Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers

  - 1.4.2.20 이전 버전

 

 

□ 해결 방안

 o 취약점이 발생한 Cisco 제품 이용자는 참고사이트에 명시되어 있는 ‘Fixed Software’ 내용을 확인하여 패치 적용

 

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey

[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv

[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack

[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric 

Comment +0

□ 개요

 o Oracle社 WebLogic Server의 취약점을 해결한 보안 업데이트 발표[1]

 o 취약점을 악용하는 공격코드가 인터넷에 공개되어 있어 적극적인 보안 업데이트 필요

 o 최근 해당 취약점을 악용한 랜섬웨어 피해가 확산되고 있으므로 신속한 업데이트 필요[2]
 

□ 설명

 o WebLogic Server에서 안전하지 않은 역직렬화로 인해 발생하는 인증 우회 및 원격코드 실행 취약점(CVE-2019-2725) [1]

 

□ 영향을 받는 제품 및 버전

 o WebLogic Server

  - 10.3.6.0.0

  - 12.1.3.0.0

 

□ 해결 방안

 o 오라클 사 홈페이지[1]에서 Patch Availability Document를 참고하여 최신 버전으로 업데이트 적용

 

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
[2] https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-being-installed-on-exploited-weblogic-servers/

Comment +0