아이디저장
 
   
Home > Give & Take > CONCERT Hot Line
한국침해사고대응팀협의회
  3/28 中 홍커연맹의 한국 웹사이트 공격예고에 대한 정보 공유
  사무국   관리자   2017-03-22   

중국의 해커조직인 홍커연맹은 한국 사이트를 대상으로 대규모 해킹 계획을 게시하고, 이를 위한 해커를 모집하고 있다는 소식이 있었습니다.

그리고 이후에 중국 사이버보안동향 전문인 씨엔시큐리티에 따르면  
이번에 게시글이 올라온 사이트는 정식 홍커연맹 사이트가 아니라고 합니다.

(상세내용 아래 기사 참조)
http://www.dailysecu.com/?mod=news&act=articleView&idxno=19171

지난 2014년 어나니머스의 OpKorea때 처럼 홍커연맹을 사칭하는 것일 가능성이 크지만,
그래도 이미 공개된 취약점에 대해 조치를 취하는 등 만반의 대비는 필요할 것 같습니다.


홍커연맹에서 배포하고 있다는 해킹Tool을 사무국에서 입수했습니다.
CONCERT HotLine 메일링리스트에는 비회원사도 포함되어 있어
단체메일을 통해 Tool을 공유하는 하는 것은 부적절하다고 판단되어
공유하지 않습니다.
다만, 내부 분석용으로 꼭 필요하신 경우에는 info@concert.or.kr로 요청 주시면
확인 후 공유드리겠습니다.

御剑 (sql인젝션툴)
椰树(sql인젝션,xss툴)
挖掘鸡(sql인젝션툴)
明小子综合注入(sql인젝션툴)
超级SQL注入(sql인젝션툴)
啊D(sql인젝션툴)
web漏洞扫描器v1.0(웹취약점 스캐너)


지난달부터 Apache Struts2 의 취약점을 이용한 중국발 해킹이 지속적으로 발생하고 있는 상황이며, CVE-2017-5638 취약점에 대해 KISA 공지 이후에 공격 벡터를 변경한 새로운 공격 방식이 등장했습니다.
또한 IBM X-Force에서는 해당 취약점을 이용한 공격IP(Indicator)로 다음 IP에 대해 차단을 권고했습니다.

Indicators
 202.194.207.101
 222.175.103.114
 192.161.172.197
 120.76.41.162
 58.251.130.173
 145.17.204.44
 31.210.47.92
 43.246.208.97
 114.242.82.105
 59.149.158.27
 198.202.241.40
 192.161.172.203
 218.245.0.40
 112.11.105.28
 219.151.7.149
 61.188.38.140
 111.3.155.20
 116.247.101.34
 123.184.19.157
 222.135.204.11
 59.33.252.248
 222.186.58.138
 185.117.72.44
 113.16.135.130
 59.33.252.247
 59.33.252.249
 192.161.172.201
 59.33.252.250
 223.255.145.158
 59.33.252.252
 59.33.252.251

출처 : https://exchange.xforce.ibmcloud.com/collection/Apache-Struts-2-Attack-Campaign-adc572fb5f587f2159698fc38a26a2ca


==============================================================
KISA 보안공지

Apache Struts 원격 코드 실행 취약점 업데이트 권고 2017.03.07

 

□ 개요
 o Apache Struts에서 임의 코드 실행이 가능한 취약점을 해결한 보안 업데이트 발표 [1]
  o 취약한 버전을 사용 중인 서버의 담당자는 해결방안에 따라 최신 버전으로 업데이트 권고
 
□ 내용
 o Jakarta Multipart 파서를 기반으로 한 파일 업로드를 수행할 때 HTTP Request 헤더의 Content-Type을 변조하여

    원격 코드 실행이 가능한 취약점(CVE-2017-5638)
 
 □ 영향을 받는 제품 및 버전
 o Apache Struts 2.3.5~2.3.31 버전
 o Apache Struts 2.5~2.5.10 버전
    ※ 버전 확인 방법 : web하위의 /WEB-INF/lib/struts-core.x.x.jar 파일 버전 확인
 
□ 해결 방안
 o 취약점이 해결된 버전으로 업데이트 수행
   - Apache Struts 2.3.32 버전 [2]
    - Apache Struts 2.5.10.1 버전 [3]
  o Content-Type에 엄격한 필터링 적용 및 ognl 표현식과 사용 금지
 o commons-fileupload-x.x.x.jar 파일 삭제
    ※ 해당 파일 삭제 시 업로드 기능 사용 불가
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
 [참고사이트]
  [1] https://cwiki.apache.org/confluence/display/WW/S2-045
  [2] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
  [3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
 
 =======================================================

Apache Struts2 원격코드실행 취약점 주의!(CVE-2017-5638, S2-046)

최근 S2-045 취약점과 유사한 원격코드실행 취약점이 또 다시 발견되었습니다.

취약점 개요

악성 Content-Disposition값 혹은 부적절한 Content-Length 헤더를 이용하여 원격코드를 실행할 수 있는 취약점 입니다. 해당 취약점은 S2-045와 유사하지만, 사용하는 공격 벡터가 다릅니다.

CVE 번호

CVE-2017-5638


PoC

POST /doUpload.action HTTP/1.1
Host: localhost:8080
Content-Length: 10000000
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z
Connection: close
------WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"
Content-Type: text/plain
Kaboom
------WebKitFormBoundaryAnmUgTEhFhOZpr9z--


해결방법

1) Apache Struts 2.3.2 혹은 2.5.10.1로 업데이트
(▶참고 : Struts 2.3.32 업데이트, Struts 2.5.10.1업데이트)

2) 만약 업데이트를 할 수 없는 상황 중 Apache Struts 2.3.8 – 2.5.5 혹은 2.3.20 – 2.5.5버전 사용자라면 새로개발된 플러그인 사용
(▶참고 : https://github.com/apache/struts-extras)

3) 만약 업데이트를 할 수 없는 상황 중 Struts 2.5.8 – 2.5.10 사용자라면 스택에서 File Upload Interceptor 삭제하고 스택을 정의하고 기본으로 설정한다.
(▶참고 : https://cwiki.apache.org/confluence/display/WW/How+do+we+configure+an+Interceptor+to+be+used+with+every+Action)

참고 :
https://cwiki.apache.org/confluence/display/WW/S2-045
https://cwiki.apache.org/confluence/display/WW/S2-046
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNAr_RLyvpR


출처: http://blog.alyac.co.kr/1025 [알약 공식 블로그]

==============================================================

  CONCERT Hot Line 게시판 이용안내 사무국 2013-04-10
401   국내 은행대상 DDoS 공격 협박 사무국 2017-06-21
400   3/28 中 홍커연맹의 한국 웹사이트 공격예고에 대… 사무국 2017-03-22
399   개인정보보호법 해설서&개인정보의 안정성확보조… 사무국 2017-01-05
398   웹 브라우저 암호 고도화 정책에 따른 주의 권고 사무국 2016-01-06
397   MS Font 드라이버 원격코드 실행 신규 취약점 보… 사무국 2015-07-21
396   [KrCERT] HTTP.sys 취약점(CVE-2015-1635) 보안조… 사무국 2015-04-16
395   정보보안 기사/산업기사 저자무료특별강의 wjcio 2015-03-11
394   윈도서버 2003 보안 서비스 지원 종료 관련 보안 … 사무국 2015-03-09
393   [KrCERT]리눅스 Ghost 취약점 보안 업데이트 권고 사무국 2015-01-29
392   Gnu bash 취약점(ShellShock) 조치 현황 조사 요… 사무국 2014-10-01
391   [KrCERT]OpenSSL 다중 취약점 보안업데이트 권고… 사무국 2014-06-10
390   [KISA/금융보안연구원]OpenSSL 다중취약점 보안업… 사무국 2014-06-09
389   [KrCERT/CC]GoZeus, CryptoLocker 악성코드 피해… 사무국 2014-06-03
388   MS IE 제로데이 취약점 조치방법 공유 사무국 2014-04-30
387   KISA, OpenSSL의 취약점 악용한 공격 주의 당부 사무국 2014-04-10
   1 2 3 4 5 6 7 8 9 10    
 
개인정보취급방침