사이트에서 PHP 코드 사용을 용이하게 하는 널리 사용되는 플러그인의 치명적인 취약점으로 인해 수만 개의 WordPress 사이트가 위험에 처해 있습니다.

버그 중 하나는 모든 수준의 인증된 사용자(가입자와 고객 포함)가 플러그인이 설치된 사이트를 완전히 인수할 수 있는 코드를 실행할 수 있도록 하는 것으로 연구원들이 발견했습니다.

Wordfence Threat Intelligence의 연구원들은 화요일에 게시된 블로그 게시물 에서 30,000개 이상의 WordPress 사이트에 설치된 플러그인인 PHP Everywhere 에서 세 가지 중요한 취약점을 발견 했습니다. 플러그인은 이름에서 알 수 있는 대로 정확하게 수행하므로 WordPress 사이트 개발자는 페이지, 게시물 및 사이드바를 비롯한 사이트의 다양한 구성 요소에 PHP 코드를 넣을 수 있습니다.

Wordfence의 Ram Gall은 게시물에서 “이러한 취약점은 악용하기 매우 쉽고 사이트를 빠르고 완벽하게 인수하는 데 사용할 수 있습니다. Wordfence는 WordPress 웹 사이트에 대한 보안을 제공합니다.

세 가지 취약점은 Wordfence가 책임 있는 공개 프로세스를 통해 알린 후 플러그인 개발자가 수정한 플러그인의 기본 설정으로 인한 것입니다.

Wordfence 팀 은 1월 4일 PHP Everywhere의 빌더인 Alexander Fuchs 에게 이메일을 보냈고 거의 즉각적인 응답을 받았습니다. 그는 이후 1월 10일에 모든 문제를 해결하는 "대부분 재구축된 플러그인 버전"을 출시했다고 Gall은 썼습니다. Wordfence는 플러그인을 사용하는 WordPress 사이트의 모든 관리자에게 업데이트를 즉시 설치하도록 촉구합니다.

치명적인 취약점

가장 위험한 결함인 "Shortcode를 통한 Subscriber+ 사용자의 원격 코드 실행" 및 CVE-2022-24663 으로 추적되는 것은 플러그인에 WordPress 단축 코드를 통해 PHP 코드 스니펫을 실행할 수 있는 기능이 포함된 것과 관련이 있다고 연구원들은 밝혔습니다. 이 버그는 CVSS에서 9.9의 비판적 평가를 받았습니다.

"불행히도 WordPress는 인증된 모든 사용자가 parse-media-shortcode AJAX 작업을 통해 단축 코드를 실행할 수 있도록 허용하며 일부 플러그인은 인증되지 않은 단축 코드 실행도 허용합니다."라고 Gall은 게시물에 썼습니다. “그러므로 로그인한 모든 사용자, 심지어 구독자나 고객과 같이 권한이 거의 없는 사용자라도 [php_everywhere]< 임의의 PHP>[/php_everywhere].”

연구원들은 WordPress 사이트에서 이 임의의 PHP를 실행하면 일반적으로 "전체 사이트 인수"가 가능하다는 것을 발견했습니다.

다른 두 버그는 각각 CVE-2022-24664 및 CVE-2022-24665 로 추적됩니다 . Gall은 둘 다 단축 코드 취약점과 동일한 CVSS 점수를 얻었지만 연구원들은 이를 악용하려면 기여자 수준의 권한이 필요하기 때문에 심각도가 약간 낮은 것으로 간주했다고 설명했습니다.

전자의 "메타박스를 통한 Contributor+ 사용자의 원격 코드 실행"은 edit_posts 기능이 있는 모든 사용자가 PHP Everywhere 메타박스를 사용할 수 있도록 허용하는 PHP Everywhere의 기본 설정과 관련이 있습니다.

"불행히도 이것은 신뢰할 수 없는 기여자 수준의 사용자가 PHP Everywhere 메타박스를 사용하여 게시물을 만들고 PHP 코드를 PHP Everywhere 메타박스에 추가한 다음 게시물을 미리 보는 방식으로 사이트에서 코드 실행을 달성할 수 있음을 의미했습니다."라고 Gall이 썼습니다.

세 번째 취약점인 "Gutenberg 블록을 통한 Contributor+ 사용자의 원격 코드 실행"은 edit_posts 기능이 있는 모든 사용자가 PHP Everywhere Gutenberg 블록을 사용할 수 있도록 허용하는 PHP Everywhere의 기본 설정과 연결되어 있습니다.

Gall은 "관리자 전용으로 설정할 수 있었지만 구텐베르크 블록 편집기를 비활성화하지 않고는 기능 검사를 추가할 수 없는 버전 <= 2.0.3으로 인해 기본적으로 설정되지 않았습니다."라고 설명했습니다.

불행히도 이 설정은 기고자 수준의 사용자가 게시물을 만들고, 모든 곳에 PHP를 추가하고 코드를 추가한 다음 게시물을 미리보기하여 사이트에서 임의의 PHP 코드를 실행할 수 있음을 의미한다고 그는 말했습니다.

위험 및 보호

WordPress 플러그인은 종종 WordPress 사이트의 보안을 위협하는 취약점을 포함하여 오픈 소스 콘텐츠 관리 및 웹 사이트 생성 시스템을 사용하여 구축된 사이트 개발자에게 지속적인 고충입니다.

지난달 연구원들은 사이트 관리자 작업을 통해 공격자가 취약한 사이트에서 임의의 사이트 옵션을 업데이트하고 완전히 장악할 수 있는 동일한 취약점을 가진 3개의 WordPress 플러그인을 발견했습니다. 그리고 지난 10월에는 Hashthemes Demo Importer 라는 WordPress 플러그인 을 통해 구독자 가 사이트 에서 콘텐츠를 완전히 삭제할 수 있었습니다.

실제로 RiskBased Security의 연구원에 따르면 악용 가능한 WordPress 플러그인 취약점의 수가 2021년에 폭발적으로 증가하여 세 자릿수 증가했습니다.

Wordfence는 PHP Everywhere 결함의 영향을 받는 사용자에게 자체 완화 기능을 제공했습니다. 이 회사는 연구원들이 플러그인 개발자에게 통지한 당일에 프리미엄 사용자에게 PHP Everywhere 취약점으로부터 보호하는 방화벽 규칙을 제공했습니다. 나중에 다른 고객과 Wordfence 무료 버전 사용자에게 방화벽을 확장했습니다.

게시물에 따르면 Wordfence는 또한 Wordfence Care 서비스 를 통해 결함의 영향을 받는 WordPress 사용자에게 사고 대응 서비스를 제공하고 있습니다.

Google은 월요일에 Chrome 브라우저에 대한 11가지 보안 수정 사항을 발표했습니다. 여기에는 야생에서 공격자가 적극적으로 사용하는 심각도가 높은 제로데이 버그가 포함됩니다.

간략한 업데이트에서 Google 은 CVE-2022-0609 로 추적되는 취약점을 Chrome의 애니메이션 구성요소에 있는 use-after-free 취약점으로 설명했습니다. 이러한 종류의 결함은 유효한 데이터의 손상에서 취약한 시스템에서 임의의 코드 실행에 이르기까지 모든 종류의 불행을 초래할 수 있습니다. 이러한 결함은 브라우저의 보안 샌드박스를 탈출하는 데에도 사용될 수 있습니다.

보안 업데이트에 따르면 "구글은 CVE-2022-0609에 대한 익스플로잇이 존재한다는 보고를 알고 있습니다."

애니메이션 문제를 해결하기 위해 10가지 다른 보안 문제와 함께 Google은 Windows, Mac 및 Linux용 Chrome 98.0.4758.102를 출시했으며 앞으로 며칠 또는 몇 주에 걸쳐 출시될 예정입니다.

그러나 Chrome 사용자는 Chrome 메뉴 > 도움말 > Chrome 정보로 이동하여 바로 수정할 수 있습니다.

제로데이가 공격을 받고 있다는 점을 감안할 때 Chrome 업데이트는 최대한 빨리 이루어져야 합니다.

크롬 보안 업데이트. 출처: 구글.

VMware는 VMware Cloud Foundation 버전을 포함하여 ESXi, Fusion 및 Workstation 제품의 문제를 해결하기 위해 중요한 보안 업데이트를 발표했습니다. 악용을 통해 공격자는 조직의 가상 환경 내부 워크로드에 액세스할 수 있습니다.

버그의 범위는 CVSS 취약점 심각도 척도에서 10점 만점에 5.3에서 8.4점으로 개별적으로 "중요" 또는 "보통" 문제입니다. 그러나 가상화 대기업은 함께 연결되어 더 나쁜 결과를 초래할 수 있다고 언급했습니다. "이러한 문제를 결합하면 심각도가 높아질 수 있으므로 이 [권고]의 심각도는 심각도 수준이 중요합니다."

연구원들은 현재 패치된 Apache Cassandra 오픈 소스 NoSQL 분산 데이터베이스 의 심각도가 높은 보안 버그에 대한 세부 정보를 공유했습니다. 이 버그는 악용하기 쉽고 패치가 적용되지 않은 경우 공격자가 원격 코드 실행(RCE)을 얻을 수 있습니다.

Cassandra가 사용자 정의 데이터 처리를 수행하기 위해 사용자 정의 함수(UDF)를 생성하는 방법과 관련된 버그는 CVE-2021-44521 로 추적되며 높은 심각도 등급은 8.4입니다.

취약점은 JFrog의 보안 연구 팀에 의해 발견되었습니다. 화요일 글 에서 JFrog 보안 연구원 Omer Kaspi는 단점에 대해 단점에 취약한 유일한 Cassandra 시스템은 특정, 비표준, 특히 권장되지 않는 구성을 가진 시스템이라고 말했습니다.

단점은 악용하기 쉽다는 것입니다. JFrog는 이미 개념 증명(PoC) 악용을 만들었습니다. 또 다른 단점: 이 데이터베이스는 어디에나 있습니다.

Kaspi는 자신의 글에서 "이 Apache 보안 취약점은 악용하기 쉽고 시스템에 큰 피해를 줄 수 있지만 운 좋게도 기본이 아닌 Cassandra 구성에서만 나타납니다.

카산드라는 정확히 무엇이며 어디에 있습니까?

Cassandra는 이러한 데이터베이스에 단일 실패 지점이 없다는 점을 감안할 때 효율적이고 가용성이 높은 것으로 알려진 확장성이 뛰어나고 널리 사용되는 분산 데이터베이스입니다. 데이터를 손실하거나 시스템 다운타임을 견딜 수 없는 기업에 큰 장점입니다. 또한 읽기 효율성을 저하시키지 않으면서 엄청난 양의 데이터를 빠르게 쓰기와 함께 여러 서버에서 방대한 양의 데이터를 처리할 수 있는 것으로도 알려져 있습니다.

Kaspi는 "Cassandra는 확장성이 뛰어난 분산 NoSQL 데이터베이스로, 분산 특성의 이점으로 인해 매우 인기가 있습니다."라고 말했습니다.

따라서 Netflix, Twitter, Urban Airship, Constant Contact, Reddit, Cisco, OpenX, Digg, CloudKick, Ooyala 등을 포함하여 크고 유명한 기업에서 사용하고 있다고 Kaspi는 말했습니다. 연구원은 Cassandra가 " CNCF [클라우드 네이티브 컴퓨팅 재단] 프로젝트(예: Jaeger ) 의 지원에서 알 수 있듯이" DevOps 및 클라우드 네이티브 개발 서클에서도 매우 인기가 있다고 덧붙였습니다.

(Jaeger는 복잡한 분산 시스템에서 트랜잭션을 모니터링하고 문제를 해결하도록 설계된 오픈 소스, 종단 간 분산 추적 플랫폼입니다.)

Kaspi는 "일부 회사는 DataStax (서버리스, 다중 클라우드 DBaaS) 와 같이 Cassandra 기반의 클라우드 기반 턴키 솔루션을 제공하기까지 합니다 ."라고 지적했습니다.

위험을 파헤치는 것은 왕의 고통이 될 것입니다.

카산드라의 인기를 감안할 때 이 결함을 악용하려면 기본이 아닌 사용자 구성 설정이 필요하다는 사실이 그다지 위안이 되지 않을 수 있다고 보안 전문가들이 Threatpost에 말했습니다.

디지털 IT 및 보안 운영 회사인 Netenrich의 수석 위협 헌터인 John Bambinek은 수요일 Threatpost에 기본 설정이 아닌 설정이 "전 세계의 많은 애플리케이션에서 일반적"이라고 의심한다고 말했습니다.

상황은 Log4j 만큼 나빠 보이지는 않지만 여전히 잠재적으로 널리 퍼질 수 있으며 취약한 설치를 파헤치는 일이 일이 될 것이라고 Bambinek이 이메일을 통해 말했습니다. "불행히도 얼마나 많은 설치가 취약한지 정확히 알 수 있는 방법이 없으며 자동화된 취약성 스캐너가 놓칠 수 있는 일종의 취약성일 것입니다."라고 그는 말했습니다. "기업은 모든 Cassandra 인스턴스의 구성 파일로 이동하여 위험이 무엇인지 결정해야 합니다."

코드 보안 솔루션 제공업체 BluBracket의 제품 및 개발자 관계 책임자인 Casey Bisson은 Threatpost에 이 문제는 "매우 심각한 결과를 초래할 수 있는 광범위한 영향"이 있을 수 있다고 말했습니다. 취약한 구성."

Bisson은 또 다른 잠재적 위험을 제안했습니다. 위협 행위자가 데이터베이스 인스턴스의 구성에 대한 쓰기 액세스 권한을 얻으면 운영자가 알지 못하는 사이에 취약점을 활성화할 수 있습니다.

문제의 핵심: JavaScript의 Nashorn 엔진 사용

사용자 지정 데이터 처리를 위한 UDF 생성과 관련하여 Cassandra는 기본적으로 Java 및 JavaScript로 UDF를 작성할 수 있습니다. JavaScript로 작성될 때 Cassandra는 JRE(Java Runtime Environment)에서 Nashorn 엔진을 사용합니다. 이 엔진은 JVM(Java Virtual Machine) 위에서 실행되는 JavaScript 엔진입니다.

여기에 문제가 있습니다. “Nashorn은 신뢰할 수 없는 코드를 수락할 때 보안이 보장되지 않습니다. 따라서 이러한 동작을 허용하는 모든 서비스는 항상 샌드박스에서 Nashorn 실행을 래핑해야 합니다. "예를 들어 다음 Nashorn JavaScript 코드를 실행하면 임의의 쉘 명령인 java.lang.Runtime.getRuntime().exec("touch hacked")를 실행할 수 있습니다.

NashornEscape와 같은 일부 프로젝트는 Nashorn 코드 실행을 보호하기 위해 샌드박스를 구현한다고 Kaspi는 설명했습니다.

“Nashorn 엔진은 Java.type을 사용하여 임의의 Java 클래스에 대한 액세스를 제공합니다. 예를 들면 다음과 같습니다. var System = Java.type("java.lang.System")을 사용하면 System 변수를 사용하여 java.lang.System 패키지에 액세스할 수 있습니다."라고 그는 말했습니다.

충분한 권한이 있는 사용자는 함수 생성 쿼리를 사용하여 임의의 함수를 생성할 수 있습니다.

Cassandra UDF 샌드박스 구현을 연구하는 동안 연구원들은 특정(기본값이 아닌) 구성 옵션을 혼합하여 Nashorn 엔진을 남용하고 샌드박스를 탈출하여 RCE(CVE-2021-44521로 보고된 취약점)를 달성할 수 있다는 것을 깨달았습니다.

완화 및 수정

JFrog는 모든 Apache Cassandra 사용자 가 버그를 해결하는 다음 버전 중 하나로 업그레이드 할 것을 적극 권장합니다.

• 3.0.x 사용자는 3.0.26으로 업그레이드해야 합니다.
• 3.11.x 사용자는 3.11.12로 업그레이드해야 합니다.
• 4.0.x 사용자는 4.0.2로 업그레이드해야 합니다.

인스턴스를 업데이트할 수 없는 사용자를 위해 JFrog는 다음과 같은 완화 방법을 권장합니다.

• UDF가 활발히 사용되지 않는 경우 enable_user_defined_functions를 false(기본값)로 설정하여 완전히 비활성화할 수 있습니다.
• UDF가 필요한 경우 enable_user_defined_functions_threads를 true(기본값)로 설정합니다.
• ALL FUNCTIONS, ALL FUNCTIONS IN KEYSPACE 및 FUNCTION for CREATE, ALTER 및 EXECUTE 쿼리 권한을 제거하여 신뢰할 수 없는 사용자에 대한 기능 생성, 변경 및 실행 권한을 제거합니다.

Farberware의 제조업체이자 미국 최대의 조리기구 및 제빵기구 유통업체인 Meyer Corp.는 10월 25일에 발생한 사이버 공격으로 개인 데이터가 손상되었음을 직원 2,747명에게 알리기 시작했습니다.

Meyer는 메인주에 12월 1일에 발견한 침해 사실을 공개하는 통지서를 제출했습니다. 그리고 Maine 법무장관에게 제출된 보고서에는 공격 배후의 범인이 구체적으로 명시되어 있지 않지만 Conti 랜섬웨어 그룹은 이미 12월 1일에 발표했습니다. 이번 주 사이버 공격에 대한 보고서에 따르면 11월 7일 유출 사이트는 직원 데이터 파일을 소유하고 있었습니다 .

캘리포니아 발레이오에 본사를 둔 Meyer는 이름, 사회 보장 번호, 운전 면허증 번호 등을 포함하여 직원에 대한 자세한 정보를 이름 또는 기타 개인 식별 정보와 함께 저장하고 있었습니다. 현재 잠재적으로 Conti 랜섬웨어 운영자의 손에 들어갈 수 있는 다른 정보에는 약물 검사 결과, 이민 정보, 건강 및 의료 정보가 포함됩니다.

회사는 공격에 대한 추가 세부 정보를 많이 공개하지 않았지만 Meyer는 Conti의 다작 랜섬웨어 작업에 의해 침해된 많은 회사 중 하나일 뿐입니다.

Conti의 다작 랜섬웨어 작업

KnowBe4의 보안 인식 옹호자인 Erich Kron은 Threatpost에 "Conti와 같은 랜섬웨어 그룹은 거의 모든 산업과 전 세계의 조직에 가시가 되었습니다."라고 말했습니다. "Conti 그룹의 이와 같은 공격은 일반적으로 먼저 데이터를 훔친 다음 암호화하고 복호화 키 몸값을 보유하는 랜섬웨어 유형의 공격입니다."

그러나 회사가 요구한 몸값을 지불하더라도 직원, 파트너 및 고객은 후속 조치에 취약합니다.

크론은 "또한 그룹은 일반적으로 고객, 직원, 금융 정보 또는 지적 재산권을 포함한 도난당한 데이터를 노출하여 피해자 조직을 위협합니다.

바로 이번 달에 영국에 본사를 둔 식품 대기업인 KP Snacks 가 Conti 랜섬웨어 의 공격을 받아 전국적으로 배송이 지연되었습니다.

클라우드에서 Conti 유지

Laminar의 CEO인 Amit Shaked는 이러한 민감한 데이터를 클라우드에 보관하는 것이 일반적인 관행이지만 제대로 보호되지 않으면 기업이 공격에 취약하다고 Meyer 위반에 대해 설명했습니다.

“데이터는 더 이상 상품이 아니라 통화입니다. 이 사건에서 알 수 있듯이. 조직 네트워크 내의 정보는 기업과 공격자 모두에게 중요합니다.”라고 Shaked는 이메일을 통해 말했습니다. "이 사건은 또한 전 세계 데이터의 대부분이 클라우드에 있기 때문에 보안이 데이터 중심이 되고 솔루션이 클라우드 네이티브가 되어야 한다는 점을 상기시켜줍니다."

클라우드와의 완전한 통합도 중요하다고 Shaked는 덧붙였습니다.

그는 "잠재적인 위험을 식별하고 데이터가 있는 위치를 더 깊이 이해하려면 솔루션을 클라우드와 완전히 통합해야 합니다."라고 말했습니다. "가시성과 보호라는 이중 접근 방식을 사용하여 데이터 보호 팀은 어떤 데이터 저장소가 중요한 대상인지 확실히 알 수 있고 적절한 제어를 보장하여 데이터 누출을 더 빨리 발견할 수 있습니다."

사이버 시큐리티 웍스(Cyber ​​Security Works) CEO 겸 공동 설립자인 Aaron Sandeen은 Conti 랜섬웨어 운영자 와 같은 정교한 그룹보다 앞서 나가려면 명확하고 위험 기반 접근 방식이 필요하다고 덧붙였습니다.

샌딘은 "이상적으로 조직은 위협 데이터를 중앙 집중화하고 무기화에 따라 취약점을 식별, 조사 및 순위를 매길 수 있는 거의 실시간 취약점 플랫폼을 찾아야 합니다. 이는 보고서가 공식화, 해석 및 위임되기를 기다리는 것보다 더 효과적인 접근 방식입니다."라고 조언했습니다.

그러나 Kron은 기술 솔루션 외에도 직원을 위한 강력한 보안 교육이 Conti와 같은 사이버 공격자를 막는 데 도움이 될 것이라고 덧붙였습니다.

Conti 및 기타 악의적인 사용자와 같은 그룹은 이메일 피싱을 초기 네트워크 액세스 권한을 얻는 최고의 방법으로 사용하기 때문에 보안 인식 교육 및 정기적인 모의 공격을 통해 강력하고 우수한 보안 문화를 조성하는 것이 그 어느 때보다 중요합니다."

Bill Murray의 반복되는 매일이 점점 더 위협적으로 증가한다면 헤드라인은 Groundhog Day처럼 느껴집니다.

랜섬웨어 공격이 다시 증가합니다.
랜섬웨어 공격은 지난 분기에 비해 증가했습니다.
랜섬웨어 공격은 전년도에 비해 급증했습니다.

당신은 아이디어를 얻을. 그리고 다시 Ivanti의 새로운 보고서는 분명한 경고를 보냅니다. 여전히 악화되고 있습니다. 랜섬웨어 집중 조명 연말 보고서(Ransomware Spotlight Year-End Report )는 2021년에 32개의 새로운 랜섬웨어 패밀리를 식별하여 총 157개로 전년 대비 26% 증가했습니다. 이러한 랜섬웨어 제품군은 총 288개의 취약점을 악용하고 있으며 이는 전년 대비 29% 증가한 수치입니다. 이 보고서는 Ivanti, Cyber ​​Security Works 및 Cyware가 협력하여 독점 데이터, 공개적으로 사용 가능한 위협 데이터베이스, 위협 연구원 및 침투 테스트 팀을 기반으로 수행되었습니다.

보고서에 따르면 이러한 랜섬웨어 그룹은 패치되지 않은 취약점을 계속 표적으로 삼고 기록적인 시간 내에 제로 데이 취약점을 무기화하여 치명적인 공격을 일으키고 있습니다. 동시에 위협 행위자는 공격 범위를 넓히고 조직 네트워크를 손상시키고 큰 영향을 미치는 공격을 두려움 없이 촉발하는 새로운 방법을 찾고 있습니다.

그리고 Coveware에 따르면 조직은 평균 $220,298를 지불하고 랜섬웨어 공격 후 23일의 가동 중지 시간을 겪습니다. 이는 최적의 환경에서 치명적이며 숙련된 IT 인력의 전례 없는 부족과 함께 디지털 환경으로의 급변을 고려할 때 공격은 극복할 수 없습니다.

사이버 보안 여정을 매핑할 때입니다.

좋은 소식은 랜섬웨어 위협이 정교해지면서 대응책도 증가하고 있다는 것입니다. 인적 자원을 더 이상 소모하지 않으면서 공격 표면을 극적으로 줄이고 위협으로부터 사전 예방적으로 보호 및/또는 해결하기 위해 할 수 있는 일이 있습니다.

Everywhere Workplace를 위한 포괄적이고 확장 가능하며 프레임워크에 맞춰진 사이버 보안 전략을 구축하기 위해 기업은 3단계 여정인 MAP(관리, 자동화 및 우선 순위 지정)을 진행해야 합니다. 첫 번째 단계인 관리는 사이버 보안 기반을 구축하는 것입니다. 자동화는 IT의 부담을 줄이는 것입니다. 우선 순위는 IT가 가장 위험한 영역을 식별하고 해결할 수 있는 정보와 능력을 갖춘 상태에 도달하는 것입니다.

포괄적인 MAP 전략에는 6단계가 있으며 지금 바로 시작할 수 있습니다.

1단계: 완전한 자산 가시성 확보

찾을 수 없는 것은 관리하고 보호할 수 없습니다. 연결된 모든 장치 및 소프트웨어에 대한 가시성을 높이고 이러한 자산이 사용되는 방식에 대한 컨텍스트를 제공하여 IT 및 보안 팀이 더 나은 결정을 내릴 수 있도록 자동화된 플랫폼에 투자하십시오. 포괄적인 검색 이니셔티브는 회사 소유 및 BYOD 장치를 포함하여 네트워크의 모든 자산을 찾은 다음 누가 어떤 장치를 사용하는지, 언제 어떻게 장치를 사용하는지, 그리고 무엇에 액세스할 수 있는지에 대한 컨텍스트를 제공합니다. 이를 통해 보안 팀은 자산을 더 잘 보호하고 전반적인 보안 태세를 개선할 수 있습니다.

2단계: 장치 관리 현대화

최신 장치 관리는 원격 및 하이브리드 작업 환경에서 보안을 강화하는 데 필수적인 부분입니다. UEM(통합 엔드포인트 관리) 접근 방식은 BYOD(Bring-Your-Own-Device) 이니셔티브를 완벽하게 지원하는 동시에 사용자 개인 정보를 최대화하고 기업 데이터를 보호합니다.

UEM 아키텍처에는 일반적으로 대규모 장치 및 응용 프로그램 설정을 쉽게 온보딩 및 구성하고, 위험 기반 패치 관리 및 모바일 위협 보호를 통해 장치 위생을 설정하고, 장치 상태를 모니터링하고 규정 준수를 보장하고, 문제를 신속하고 원격으로 식별 및 수정하고, 소프트웨어 업데이트를 자동화하는 기능이 포함됩니다. 및 OS 배포 등. 다양한 운영 체제에 대한 관리 기능이 있는 UEM 솔루션을 선택하고 온프레미스와 SaaS(Software-as-a-Service)를 통해 사용할 수 있는 솔루션을 선택하십시오.

3단계: 기기 위생 설정

대부분의 사람들은 장치 위생을 패치 관리와 연관시키지만 그 이상으로 확장됩니다. 올바른 장치 위생에는 정의된 보안 요구 사항을 충족하는 장치만 비즈니스 리소스에 액세스할 수 있도록 보장하기 위해 사전 예방적 다계층 접근 방식을 취하여 디지털 공격 표면을 줄이는 것이 포함됩니다. 기업은 장치 취약성(탈옥된 장치, 취약한 OS 버전 등), 네트워크 취약성(중간자 공격, 악성 핫스팟, 보안되지 않은 Wi-Fi 등) 및 애플리케이션 취약성(높은 보안 위험 평가 , 높은 개인 정보 위험 평가, 의심스러운 앱 동작 등). 우수한 기기 위생을 설정하는 데에는 잘 정의되고 반복 가능한 구축 프로세스가 포함되어 결국 자동화될 수 있습니다.

4단계: 사용자 보호

암호를 좋아하는 것처럼 보이는 유일한 사람들은 암호를 무기화하는 위협 행위자입니다. 암호와 같은 자격 증명은 침해에서 가장 많이 찾는 데이터 유형으로 남아 있으며 침해의 61%와 관련되어 있습니다. 또한 SSO(Single Sign-On) 솔루션은 해커가 대부분 또는 모든 엔터프라이즈 앱에 액세스하기 위해 악용할 수 있는 단일 실패 지점을 생성할 수 있습니다.

이상적인 솔루션: 제로 사인온을 통한 암호 없는 인증. 이 접근 방식은 암호 대신 소유(모바일 장치와 같이 가지고 있는 것), 고유(지문, Face ID 등의 생체 인식) 및 컨텍스트(위치, 시간 등)와 같은 대체 인증 방법을 통해 다단계 인증을 사용합니다. ).

5단계: 보안 액세스 제공

팀이 사무실에 있을 때 작동했던 네트워크 경계는 더 이상 Everywhere Workplace에서 충분하지 않습니다. 오늘날의 네트워크는 SDP(소프트웨어 정의 경계) 원칙을 기반으로 구축되어야 합니다. SDP가 기존 보안 시스템과 통합될 수 있도록 하는 입증된 표준 기반 구성 요소를 활용하도록 설계되었습니다. SDP는 이점을 극대화하기 위해 여전히 보안 계층이 필요하며, 여기서 ZTNA(제로 트러스트 네트워크 액세스)가 작동합니다.

6단계: 지속적으로 모니터링 및 개선

보안 태세에 대한 대부분의 평가는 공격 후에 이루어지며 공격 벡터에 따라 다릅니다. IT 역할의 빈 자리가 너무 많은 것과 결합된 이러한 대응적 접근 방식은 상당한 문제입니다. 규정 준수를 유지하고 위협을 완화하려면 정부, 위험 및 규정 준수(GRC) 관리를 처리하는 것이 필수적입니다. 빠르고 쉬운 규제 문서 가져오기가 있는 솔루션을 찾아 인용을 보안 및 규정 준수 제어와 매핑하고 수동 작업을 자동화된 반복 거버넌스 활동으로 대체하십시오.

여기에는 많은 정보가 있으며 6단계를 수행한다는 아이디어는 압도적으로 느껴질 수 있습니다. 다시 말하지만, 위협도 압도적입니다. 파트너를 확보하고 솔루션을 활용하여 사이버 보안 여정을 지원하는 것이 중요합니다. 올바른 솔루션은 포괄적이고 통합되어 IT 직원의 부담을 덜고 직원이 어디서, 언제, 어떻게 작업하든 상관없이 무결성을 유지하는 생산적이고 직관적인 사용자 경험을 보존합니다.

아직 개발 중이지 않은 새로운 Golang 기반 봇넷인 Kraken이 있습니다. 이 봇넷은 젊음이 믿기지 않을 정도로 강력합니다. 이 봇넷은 SmokeLoader 멀웨어 로더를 사용하여 들불처럼 퍼지고 있으며 운영자를 위해 이미 깔끔한 USD $3,000/월을 긁어모으고 있습니다. , 연구자들은 보고합니다.

이름이 친숙하게 들릴지 모르지만 Kraken은 같은 이름 의 2008년 봇넷 과 거의 관련이 없다고 ZeroFox 위협 연구원인 Stephan Simon이 수요일 게시물에 썼습니다 .

사이먼의 게시물에 따르면, 스모크로더를 사용하여 표적 컴퓨터에 더 많은 악성 소프트웨어를 설치함으로써 크라켄은 새로운 명령 및 제어(C2) 서버가 배포될 때마다 수백 개의 새로운 봇을 선택하고 있습니다.

ZeroFox는 2021년 10월 말에 아직 활발하게 개발 중인 이전에 알려지지 않은 봇넷을 발견했습니다. 아직 개발 중이기는 하지만 이미 Windows 호스트에서 중요한 데이터를 사이펀하는 기능이 있었고 보조 페이로드를 다운로드하고 실행할 수 있었습니다. , 셸 명령을 실행하고 피해자 시스템의 스크린샷을 찍을 수 있다고 ZeroFox는 말했습니다.

단순하지만 다중 촉수

ZeroFox는 Kraken 패널의 초기 버전 화면 캡처를 공유했습니다. 아래에 나와 있는 C2는 "Kraken 패널"로 이름이 지정되었습니다. 기본 통계, 페이로드 다운로드 링크, 새 페이로드 업로드 옵션, 특정 수의 봇과 상호 작용하는 방법을 제공했습니다.Kraken C2 패널의 영어 번역 버전. 출처: ZeroFox 인텔리전스.

Simon은 "이 버전에서는 운영자가 어떤 피해자와 상호 작용할지 선택할 수 있는 것으로 보이지 않았습니다."라고 말했습니다.

그러나 아래 표시된 Kraken의 C2 패널의 현재 버전은 완전히 재설계되어 Anubis로 이름이 변경되었습니다. Simon에 따르면 "Anubis 패널은 원래 Kraken 패널보다 운영자에게 훨씬 더 많은 정보를 제공합니다." "기존에 제공된 통계 외에도 이제 명령 내역 및 희생자에 대한 정보를 볼 수 있습니다."

Anubis라고 하는 Kraken의 최신 C2 패널용 대시보드. 출처: ZeroFox 인텔리전스.

암호화폐 잡기

Kraken의 저자는 기능 추가 및 삭제를 수정하고 있습니다. 이 시점에서 Kraken은 지속성을 유지하고, 호스트에 대한 정보를 수집하고, 파일을 다운로드 및 실행하고, 셸 명령을 실행하고, 스크린샷을 찍고, Zcash, Armory, Atomic, Bytecoin, Electrum, Ethereum, Exodus, Guarda 및 잭스 리버티.

나중의 반복은 훨씬 더 풍부해졌으며 저자는 명령에 대한 대상을 선택적으로 선택(개별 또는 그룹별로, 이전 버전에서는 봇 운영자가 대상으로 하는 희생자 수만 선택할 수 있도록 허용한 것과는 대조적으로), 작업 및 명령 기록, 작업 ID, 전송 중인 명령, 명령을 전송해야 하는 피해자 수, 대상 지리적 위치, 작업이 시작된 시간의 타임스탬프.

처음에는 2021년 10월부터 12월까지 크라켄이 공격할 때마다 RedLine 인포스틸러가 피해자의 기계에 가해졌습니다. 점점 더 널리 퍼지고 있는 인포스틸러인 RedLine 은 저장된 자격 증명, 자동 완성 데이터 및 신용 카드 정보와 같은 브라우저의 데이터를 스와이프합니다.

멀웨어는 그 이후로 촉수를 퍼뜨렸습니다. 다른 정보스틸러를 믹스에 추가하고 운영자에게 엄청난 양의 돈을 들이게 했다는 점입니다. Simon의 기록에 따르면 "Kraken 뒤에 있는 운영자가 계속 확장하고 더 많은 희생자를 모으면서 ZeroFox는 다른 일반 정보 도용자와 암호 화폐 채굴자가 배포되는 것을 관찰하기 시작했습니다."라고 말했습니다.

수요일 현재 봇넷은 Ethermine의 아래 화면 캡처에서 볼 수 있듯이 매월 약 3,000달러를 끌어들였습니다.

운영자는 새로운 봇과 그 정보 스틸러가 빨아들이는 모든 데이터로 무엇을 할 계획입니까? 이 시점에서 ZeroFox 연구원은 "현재 운영자가 수집된 도난당한 자격 증명으로 무엇을 하려는지 또는 이 새로운 봇넷을 만드는 최종 목표가 무엇인지 알 수 없습니다."라고 결론지었습니다.

스티어링 클리어

ZeroFox는 Kraken이 시스템을 복잡하게 만드는 것을 방지하기 위해 다음 권장 사항을 전달했습니다.

바이러스 백신 및 침입 탐지 소프트웨어가 모든 패치와 규칙 세트를 사용하여 최신 상태인지 확인하십시오.

모든 조직 계정에 대해 2단계 인증을 활성화하여 피싱 및 자격 증명 스터핑 공격을 완화합니다.

오프사이트 저장 및 무결성 검사를 포함하여 정기적으로 예약된 백업 루틴을 유지합니다.

원치 않는 첨부 파일을 열지 말고 의심스러운 링크를 클릭하지 마십시오.

가능한 한 모든 관리 작업을 기록하고 모니터링합니다. 의심스러운 활동에 대해 경고합니다.

잠재적인 손상 및 데이터 유출 징후가 있는지 네트워크 로그를 검토합니다.

사용자가 실시간 지도에서 친구와 가족의 위치를 ​​볼 수 있도록 하는 Snap의 소셜 앱 Zenly에는 추적 중인 사람들을 위험에 빠뜨릴 수 있는 한 쌍의 취약점이 있습니다.

Checkmarx 보안 연구 팀에 따르면 버그는 사용자 데이터 노출 취약점과 계정 탈취 취약점입니다. 둘 다 패치되었으며 사용자는 손상을 방지하기 위해 앱을 최신 버전으로 업그레이드해야 합니다.

전화번호 공개

첫 번째 버그는 사용자의 전화번호가 노출되는 중간 심각도 문제입니다.

연구원들은 목요일 게시물 에서 "사용자에게 친구 요청을 제출할 때 Zenly는 친구 요청 수락 여부에 관계없이 사용자의 전화 번호에 대한 액세스를 허용할 것"이라고 설명 했습니다 . "이 정보를 얻으려면 악의적인 행위자가 사용자 이름만 알면 됩니다."

Zenly가 "사용자 친구의 전체 목록"을 공개하기 때문에 사용자 이름을 얻는 것이 생각보다 쉽습니다.

실제로 공격이 어떻게 진행될 수 있는지에 대해 Checkmarx는 CEO를 목표로 하는 사이버 공격자에 대한 가설을 제시했습니다.

킬 체인의 단계에는 다음이 포함될 것이라고 연구원들은 말했습니다.

• 웹에서 회사 직원을 검색하고 소셜 미디어 계정(예: Twitter에서)을 얻으려고 시도합니다.
• 커뮤니케이션 또는 마케팅 분야에서 일하는 직원은 일반적으로 더 많이 노출되고 더 쉬운 대상을 나타냅니다.
• 그들의 핸들이 Zenly에서 유효한지 확인하십시오.
• Zenly를 통해 친구 목록에 액세스하고 CEO의 권한을 얻으세요.
• 취약점을 악용하여 사용자 이름을 통해 CEO의 전화 번호를 검색합니다.
• 대표이사 전화번호를 이용한 스피어피싱 공격
• 또한 공격자는 이러한 단계를 반복하여 다른 직원의 전화번호를 획득하여 보다 신뢰할 수 있는 공격을 준비할 수도 있습니다.

익스플로잇의 해부

이 취약점은 Checkmarx에 따르면 알려진 사용자 이름을 검색하여 시작하는 "사용자 이름으로 추가" 흐름을 사용합니다.

그런 다음 "네트워크 요청을 가로채고 디코딩할 수 있는 환경...네트워크 활동에 대한 가시성을 확보"를 사용하여 사용자 이름 검색 중에 발생하는 요청을 볼 수 있습니다.

분석에 따르면 "/UserPublicFriends 엔드포인트에서 실행된 요청의 응답을 관찰하면 응용 프로그램의 사용자 인터페이스에 표시되지 않지만 친구 목록을 볼 수 있습니다."라고 합니다. “이 목록에는 사용자의 모든 친구가 포함되어 있으며 그 중 한 명은 Bogus_CEO(시연 목적으로 Zenly의 가짜 CEO)입니다. 응답에는 사용자 이름도 포함되어 있으므로 이 프로세스를 반복하고 대신 친구 목록을 얻는 데 사용할 수 있습니다.”

대상 사용자 이름이 식별되면 동일한 인터셉터를 사용하여 "사용자 이름으로 추가" 보기라는 보기를 통해 연결된 전화 번호를 얻은 다음 "친구로 추가" 버튼을 탭할 수 있습니다.

"이 친구 초대는 /FriendRequestCreate 엔드포인트에 대한 요청을 트리거하며, 응답에는 우리 사용자와 대상 사용자에 대한 특정 정보가 포함되어 있습니다."라고 덧붙였습니다. "대상 사용자가 친구 요청을 수락한 적이 없더라도 응답에는 전화 번호와 대상 사용자의 전화 번호가 모두 포함되어 있습니다."

계정 탈취 문제

두 번째 취약점도 중간 심각도로 평가됩니다. 공격이 성공하면 공격자는 합법적인 사용자처럼 사용자의 위치, 알림, 대화 및 친구 정보에 액세스할 수 있습니다.

Checkmarx에 따르면 사용자 인증 흐름에 버그가 존재합니다. 해당 인증은 세션을 확인하기 위해 확인 코드가 포함된 SMS 메시지를 사용합니다.

SMS 메시지가 사용자에게 전송된 후 앱은 세션 토큰과 SMS에서 수신한 확인 코드를 모두 사용하여 /SessionVerify 엔드포인트를 호출합니다.

공격자는 세션 토큰을 훔치기 위해 /SessionCreate 엔드포인트를 남용할 수 있다고 연구원들은 설명했습니다. 이제 공격자가 확인 코드를 알지 못하더라도 합법적인 사용자의 계정에 대해 유효한 세션이 있습니다."

버그가 중간 등급인 이유는 익스플로잇을 수행하기 어렵기 때문입니다. 공격자는 피해자의 휴대폰 번호를 알아야 합니다(첫 번째 버그를 통해 가능). 또한 피해자가 로그인, 가입, 새 장치 등록 또는 다른 이유로 인증 절차를 거치게 될 때를 알아야 합니다.