정보보호 전문기업 두루안이 함께 합니다.
The Hackers News 발췌 분
LibSSH Flaw Allows Hackers to Take Over Servers Without Password (2018-10-16)
SSH 구현 라이브러리인 Libssh에서 인증을 무시하고 암호 없이 서버에 접속한 후 서버를 자유롭게 관리할 수 있는 취약점이 발견되었으며, CVE-2018-10933 로 알려진 취약성은 2014년 초 Libssh 버전 0.6에서 도입된 인증 우회 문제로 4년동안 서버가 해커에게 공개되었습니다.
발표된 보안권고에 따르면 원격 공격자가 접속할 때 “SSH2_MSG_USERAUTH_SUCCESS” 메시지를 응답으로 보내면 인증이 성공한 것으로 간주되어 서버에 접속을 허용합니다.
Libssh팀은 0.8.4 및 0.7.6 버전을 출시하여 문제를 해결하면서 취약점 세부사항도 동시에 발표하였습니다. 또한, Libssh를 사용중이라면 빨리 업데이트 된 버전을 설치하는 것이 좋다고 권고했습니다.
New iPhone Bug Gives Anyone Access to Your Private Photos (2018-10-15)
2018년 9월 IOS 12에서 Passcode bypass 취약성이 발견되어 패치 버전인 ISO 12.0.1이 릴리즈 되었지만, ISO 12.0.1 에서도 유사한 Passcode bypass 취약성이 발견되었습니다.
새로운 해킹방식은 Siri나 VoiceOver 스크린 리더를 사용하여 휴대전화의 방어수단을 통과하며, 앨범에 액세스하고 Apple 메시지로 누구에게나 선택한 사진을 전송할 수 있습니다.
Apple에 보안패치가 제공될때까지 lockscreen에서 Siri를 비활성화하여 일시적으로 문제를 해결 할 수 있습니다.
Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020 (2018-10-15)
Chrome, Firefox, Edge, Safari, Explorer를 포함한 모든 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표했습니다.
SSL Protocol을 기반으로 개발된 TLS는 클라이언트-서버 간 안전하고 암호화된 통신 채널을 설정하는데 사용되었으나, 초기 버전인 TLS 1.0, TLS 1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약한 것으로 알려져 있습니다.
PCI Data Security Standard(PCI DSS), Gitlab 등 업체들이 올해 안에 하위 버전 지원을 중단한다고 발표하고 있으므로, TLS 1.2로 업그레이드하고 브라우저 옵션에서 TLS 1.0, TLS 1.1 사용 옵션을 해제하는 것이 권장됩니다.
KISA 보안공지
LibSSH 라이브러리 보안 업데이트 권고 (2018.10.19)
판도라티비 KMPlayer 보안 업데이트 권고 (2018.10.19)
2018년 10월 Oracle Critical Patch Update 권고 (2018.10.18)
이스트소프트 알집 보안 업데이트 권고 (2018.10.16)
기타 동향
'취약점·백도어' 무책임한 보안 의혹에 멍드는 기업들
취약점부터 백도어(비공개 접속 경로)까지. 최근 국정감사 동안 제기된 잇따른 보안 의혹에 기업들만 여론의 뭇매를 맞는 형국이다.
사업에 타격을 주는 민감한 사안들이 의혹으로 제기됐지만, 정작 명확한 세부사항 언급은 없어 괜한 논란만 키우고 있는 것.
정치권 주장에 대놓고 반박하기도 쉽지 않아 기업들만 속앓이를 하고 있다.
[2018국감]"사이버범죄, 10분당2.73건"
2015년부터 올 8월까지 발생한 사이버 범죄가 총 52만6천312건으로 나타났다. 10분당 2.73건 꼴로 발생한 셈이다.
가장 많은 유형은 인터넷 사기로 전체 사이버 범죄의 66.2%에 달했다. 다음은 사이버 명예훼손·모욕(10.1%), 사이버 저작권 침해(7.3%) 순이었다.
전체 52만여 건의 사이버 범죄 가운데 검거된 경우는 41만3천148건으로, 검거율은 78.5%로 조사됐다. 가장 높은 검거율은 보인 것은 사이버 도박(98.9%), 가장 낮은 유형은 해킹(35.4%)이었다.
[국감2018] "청와대·행정기관, 정보보호 최소장치 HTTPS 적용 안해"
청와대를 비롯한 기재부, 외교부, 법무부, 국방부 등 주요 행정기관의 홈페이지 메인 창에 보안 주의 경고 메시지가 뜨는 것으로 나타났다.
국가과학기술연구회, 한국식품연구원과 부설 세계김치연구소, 한국에너지기술연구원 총 4개 연구기관의 홈페이지에 HTTPS 보안 조치가 되어있지 않은 것으로 나타났다.
이에 박 의원은 국제인터넷표준화기구(IETF)가 정한 HTTPS 보안 조치를 통해 인터넷 통신의 기초보안을 이뤄야 한다고 강조했다.