보안이야기

Apache Log4j 2 RCE 취약점(CVE-2021-44228)

취약점 설명 - Apache Log4j 2 RCE(CVE-2021-44228) Apache에서 로그 메시지와 파라미터 등에 사용되는 JNDI 기능으로 인하여 ​​LDAP 등 JNDI 관련 서버군에 취약점이 발생합니다. 공격자가 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있다면, 서버에 메시지 룩업 관련 기능(message lookup substitution)이 활성화된 경우에 한하여 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다. # jndi 자바 네이밍 디렉터리 인터페이스의 약자로 객체를 찾고 참조(lookup)을 하기 위한 자바 API 즉, 객체를 찾고 참조하여 이용함. 영향을 받는 제품 및 해결 방안 1. Apache Log4j 2 (2.0-beta9 ~ 2.14.1 모든버전)..

Sudo 권한상승 취약점(CVE-2021-3156)

취약점 개요 - 유닉스 및 리눅스 계열 운영체제의 Sudo 명령어의 취약점을 해결한 업데이트 발표 * Sudo 명령어: 사용자가 다른 사용자의 권한으로 어플리케이션이나 명령을 실행할 수 있도록 하는 시스템 명령어 취약점 설명 - Sudo 명령어에서 힙 버퍼 오버플로우로 인해 발생하는 권한상승 취약점 영향을 받는 제품 및 해결 방안 취약점 예시 우분투(18.0.4) 서버에서 취약한 버전의 Sudo(1.8.21p2)를 사용 공개된 Exploit 코드 실행 시 사용자 권한이 루트권한으로 상승된 것을 확인 취약점 점검방법 취약한 버전을 사용할 경우 sudoedit: 시작하는 오류 발생 [취약한 버전] root@AIOS:~# sudoedit -s / root@AIOS:~# sudoedit -s '\' `perl ..

ThinkPHP 원격 코드 실행 취약점(CVE-2018-20062)

안녕하세요. ThinkPHP 원격 코드 실행 취약점에 대해서 알아보겠습니다. ThinkPHP는 중국 Topthink에서 동적 웹 애플리케이션 개발을 위해 개발한 Apache2 기반의 PHP framework이다. 실제로 ThinkPHP는 php개발 속도를 크게 줄여주기에 중국권에서 많이 사용되고 있다. ThinkPHP는 컨트롤러 클래스(app)에 invokefunction 함수에 매개변수에 원격 코드를 삽입하여 공격하는 형태이다. 공격코드 /thinkphp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array & vars[0]=system&vars[1][] =ls% 20-l 위 코드에서 '\'를 필터링하지 못해 ..

Logjam (CVE-2015-4000)

로그잼(Logjam) 취약점 : 공격자가 임시 디피 헬만 키 교환을 사용하여 TLS 연결을 512비트 EXPORT 버전 암호화로 다운그레이드 공격을 하여 MITM 공격을 통해 사용자와 웹, 또는 이메일 서버 간의 TLS 통신을 추출하는 공격을 말한다. * 중간자 공격(man in the middle attack, MITM) : 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다. 대응방법 1) 클라이언트는 최신의 브라우저를 사용한다. 2) 서버는 명시적으로 ..

DROWN (CVE-2016-0800)

드라운(DROWN) 취약점 : 공격자는 SSL v2.0을 삳용하는 서버에 악성패킷을 보내 인증서 키 값을 알아내고 키 값을 이용해 암호화된 통신 내용을 복호화해 주요 정보를 탈쉬할 수 있는 취약점 대응방안 1) SSL v2.0을 사용하지 않도록 웹서버 SSL 설정을 한다. 2) OpenSSL을 최신 버전으로 업그레이드 한다.

NTP Amplification DDoS Attack (CVE-2013-5211)

NTP 분산 서비스 거부 취약점 : NTP 서버의 특정 명령어(monlist)를 이용하여 대규모 증폭, 반사 형태의 디도스 공격을 유발시킬 수 있는 취약점 * NTP(Network Time Protocol) : 네트워크를 통해 컴퓨터 시스템 간 시간 동기화를 위해 사용하는 인터넷 프로토콜(udp/123) - NTP monlist : NTP 서비스 데몬(ntpd)은 질의를 통해 해당 서비스 데몬에 접속한 호스트를 모니터링할 수 있는 기능을 지원한다. "monlist"라는 이름의 명령어로 NTP 데몬에 질의를 요청하면 최근 접속한 최대 600개의 접속 호스트 리스트를 응답받을 수 있다. -> ntpdc -n -c monlist "NTP 서버" - ntpdate : 원격지의 NTP 서버를 이용하여 날짜 및 시..