2024-03-19 15:35 (화)
중국 해커들이 사이버공격에 주로 사용하는 보안취약점 리스트...한국도 주의
상태바
중국 해커들이 사이버공격에 주로 사용하는 보안취약점 리스트...한국도 주의
  • 페소아 기자
  • 승인 2020.10.21 19:35
이 기사를 공유합니다

NSA가 발표한 중국 해커들이 사용하는 주요 보안취약점 리포트 일부.
NSA가 발표한 중국 해커들이 사용하는 주요 보안취약점 리포트 일부.

중국 정부가 후원하는 해커들은 어떤 취약점을 악용해 사이버 공격을 진행했을까. 이에 대해 미국 국가 안보국 NSA가 취약점 리스트 분석 보고서를 발표했다.

이번에 공개된 25개의 취약점은 모두 잘 알려진 것들이며 공급 업체에서 이미 패치가 나온 취약점들이다. 하지만 제대로 패치를 적용하지 않아 공격을 받고 있는 상황이다.

취약점 익스플로잇도 공개된 것들이다. 일부는 중국 해커 이외에도 랜섬웨어 그룹, 낮은 수준의 멀웨어 그룹 및 러시아 및 이란 등 해커들과 협력해 사용한 것으로 조사됐다.

NSA는 보고서에서 “이번에 공개된 취약점들은 인터넷에서 직접 접근할 수 있고 내부 네트워크의 게이트 제품을 사용하는 피해자 네트워크에 초기 접근할 때 사용될 수 있다”고 설명했다.

미국 뿐 아니라 한국 기관과 기업들도 관련 취약점에 대한 신속한 패치 적용이 이루어져야 한다. 이번에 공개된 취약점은 다음과 같다. 각별한 주의가 필요하다.

▶CVE-2019-3396

Atlassian Confluence 17 서버의 위젯 커넥터 매크로를 사용하면 원격 공격자가 서버 측 템플릿 삽입을 통해 Confluence 서버 또는 데이터 센터 인스턴스에서 경로 탐색 및 원격 코드 실행 가능

▶CVE-2019-11580

Atlassian Crowd 또는 Crowd Data Center 인스턴스에 요청을 보낼 수 있는 공격자는 이 취약점을 악용하여 원격 코드 실행을 허용하는 임의 플러그인 설치 가능

▶CVE-2020-10189

Zoho ManageEngine Desktop Central은 신뢰할 수 없는 데이터의 역직렬화로 인해 원격 코드 실행 허용

▶CVE-2019-18935

ASP.NET AJAX 용 Progress Telerik UI에 .NET 역 직렬화 취약점이 포함되어 있어 악용을 통해 원격 코드 실행 가능

▶CVE-2020-0601(CurveBall)

Windows CryptoAPI(Crypt32.dll)가 ECC(Elliptic Curve Cryptography) 인증서의 유효성을 검사하는 방식에 스푸핑 취약점 존재. 공격자는 스푸핑된 코드 서명 인증서를 사용하여 악의적인 실행 파일에 서명하고 이 취약점을 악용하여 파일이 신뢰할 수 있고 합법적인 소스에서 온 것처럼 속일 수 있음

▶CVE-2019-0803

Win32k 구성 요소가 메모리의 개체를 제대로 처리하지 못하는 경우 권한 상승 취약점 존재

▶CVE-2017-6327

시만텍 Messaging Gateway의 원격 코드 실행 취약점

▶CVE-2020-3118

Cisco IOS XR 소프트웨어에 대한 Cisco Discovery Protocol 구현의 취약점으로 인해 인증되지 않은 공격자가 임의 코드를 실행하거나 장치를 다시 로드할 수 있음

▶CVE-2020-8515

DrayTek Vigor 장치는 셸 메타 문자를 통해 인증없이 루트 권한 원격 코드 실행 허용

▶CVE-2019-11510

Pulse Secure VPN 서버에서 인증되지 않은 원격 공격자가 특수 제작된 URI를 전송하여 임의의 파일 읽기 취약성을 유발시키고 이로 인해 키 또는 암호 노출 가능

▶CVE-2020-5902

F5-BIG-IP 프록시 및 로드 밸런서에서 TMUI(트래픽 관리 사용자 인터페이스, 구성 유틸리티라고도 함)에서 원격 공격자가 원격 코드를 실행하여 BIG-IP 장치 전체를 장악할 수 있는 취약점

▶CVE-2019-19781

시트릭스 ADC(Application Delivery Controller) 및 게이트웨이 시스템은 디렉터리 탐색 버그에 취약하여 공격자가 장치에 대한 유효한 자격증명을 소유하지 않아도 원격 코드 실행이 가능하여 이 두가지 문제를 연결하여 Citrix 시스템을 장악

▶CVE-2020-8193, 8195, 8196

또다른 시트릭스 ADC 및 게이트웨이 버그 세트. WAN-OP 시스템에도 영향을 미치는 이 세개의 버그는 특정 URL 종단으로의 인증되지 않은 접근과 낮은 권한의 사용자에게 정보 공개를 허용

▶CVE-2019-0708(BlueKeep)

윈도우 운영체제의 원격 데스크톱 서비스 내에 원격 코드 실행 취약점 존재

▶CVE-2020-15505

MobileIron MDM(모바일 장치 관리) 소프트웨어의 원격 코드 실행 취약점을 이용해 원격 공격자가 원격 회사 서버 장악 가능

▶CVE-2020-1350(SIGRed)

윈도우 도메인 네임 시스템 서버가 요청을 제대로 처리하지 못했을 때 원격 코드 실행 취약점 발생

▶CVE-2020-1472(Netlogon)

공격자가 MS-NRPC(Netlogon Remote Protocol)를 사용하여 도메인 컨트롤러에 취약한 Netlogon 보안 채널 연결을 설정할 때 권한 상승 취약점 존재

▶CVE-2019-1040

중간자(Man-In-the-Middle) 공격자가 NTLM MIC(Message Integrity Check) 보호를 성공적으로 우회할 수 있는 경우 Windows에 탬퍼링 취약점 존재

▶CVE-2018-6789

Exim 메일 전송 에이전트에 조작된 메세지를 보내면 버퍼오버플로우 발생시킬 수 있는 취약점 존재하여 원격으로 코드를 실행하고 이메일 서버를 장악하는데 사용 가능

▶CVE-2020-0688

마이크로소프트 Exchange 소프트웨어에 메모리의 오브젝트를 제대로 처리하지 못해 원격코드 실행 취약점이 존재

▶CVE-2018-4939

특정 어도비 ColdFusion 버전에는 악용 가능한 신뢰할 수 없는 데이터의 역 직렬화 취약점이 있어 임의 코드 실행 가능

▶CVE-2015-4852:

오라클 WebLogic 15 Server의 WLS 보안 구성 요소를 사용하면 원격 공격자가 제작된 직렬화된 Java 개체를 통해 임의 명령 실행 가능

▶CVE-2020-2555

오라클 Fusion Middleware의 Oracle Coherence 제품에 취약점이 존재. 쉽게 악용 가능한 이 취약점은 T3를 통해 네트워크에 액세스하는 인증되지 않은 공격자가 Oracle Coherence 시스템을 손상시킬 수 있음.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★