중국의 해커조직인 홍커연맹은 한국 사이트를 대상으로 대규모 해킹 계획을 게시하고, 이를 위한 해커를 모집하고 있다는 소식이 있었습니다.

그리고 이후에 중국 사이버보안동향 전문인 씨엔시큐리티에 따르면  
이번에 게시글이 올라온 사이트는 정식 홍커연맹 사이트가 아니라고 합니다.

(상세내용 아래 기사 참조)
http://www.dailysecu.com/?mod=news&act=articleView&idxno=19171

지난 2014년 어나니머스의 OpKorea때 처럼 홍커연맹을 사칭하는 것일 가능성이 크지만,
그래도 이미 공개된 취약점에 대해 조치를 취하는 등 만반의 대비는 필요할 것 같습니다.


홍커연맹에서 배포하고 있다는 해킹Tool을 사무국에서 입수했습니다.
CONCERT HotLine 메일링리스트에는 비회원사도 포함되어 있어
단체메일을 통해 Tool을 공유하는 하는 것은 부적절하다고 판단되어
공유하지 않습니다.
다만, 내부 분석용으로 꼭 필요하신 경우에는 info@concert.or.kr로 요청 주시면
확인 후 공유드리겠습니다.

御剑 (sql인젝션툴)
椰树(sql인젝션,xss툴)
挖掘鸡(sql인젝션툴)
明小子综合注入(sql인젝션툴)
超级SQL注入(sql인젝션툴)
啊D(sql인젝션툴)
web漏洞扫描器v1.0(웹취약점 스캐너)


지난달부터 Apache Struts2 의 취약점을 이용한 중국발 해킹이 지속적으로 발생하고 있는 상황이며, CVE-2017-5638 취약점에 대해 KISA 공지 이후에 공격 벡터를 변경한 새로운 공격 방식이 등장했습니다.
또한 IBM X-Force에서는 해당 취약점을 이용한 공격IP(Indicator)로 다음 IP에 대해 차단을 권고했습니다.

Indicators
 202.194.207.101
 222.175.103.114
 192.161.172.197
 120.76.41.162
 58.251.130.173
 145.17.204.44
 31.210.47.92
 43.246.208.97
 114.242.82.105
 59.149.158.27
 198.202.241.40
 192.161.172.203
 218.245.0.40
 112.11.105.28
 219.151.7.149
 61.188.38.140
 111.3.155.20
 116.247.101.34
 123.184.19.157
 222.135.204.11
 59.33.252.248
 222.186.58.138
 185.117.72.44
 113.16.135.130
 59.33.252.247
 59.33.252.249
 192.161.172.201
 59.33.252.250
 223.255.145.158
 59.33.252.252
 59.33.252.251

출처 : https://exchange.xforce.ibmcloud.com/collection/Apache-Struts-2-Attack-Campaign-adc572fb5f587f2159698fc38a26a2ca


==============================================================
KISA 보안공지

Apache Struts 원격 코드 실행 취약점 업데이트 권고 2017.03.07

□ 개요
 o Apache Struts에서 임의 코드 실행이 가능한 취약점을 해결한 보안 업데이트 발표 [1]
  o 취약한 버전을 사용 중인 서버의 담당자는 해결방안에 따라 최신 버전으로 업데이트 권고
 
□ 내용
 o Jakarta Multipart 파서를 기반으로 한 파일 업로드를 수행할 때 HTTP Request 헤더의 Content-Type을 변조하여

    원격 코드 실행이 가능한 취약점(CVE-2017-5638)
 
 □ 영향을 받는 제품 및 버전
 o Apache Struts 2.3.5~2.3.31 버전
 o Apache Struts 2.5~2.5.10 버전
    ※ 버전 확인 방법 : web하위의 /WEB-INF/lib/struts-core.x.x.jar 파일 버전 확인
 
□ 해결 방안
 o 취약점이 해결된 버전으로 업데이트 수행
   - Apache Struts 2.3.32 버전 [2]
    - Apache Struts 2.5.10.1 버전 [3]
  o Content-Type에 엄격한 필터링 적용 및 ognl 표현식과 사용 금지
 o commons-fileupload-x.x.x.jar 파일 삭제
    ※ 해당 파일 삭제 시 업로드 기능 사용 불가
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
 [참고사이트]
  [1] https://cwiki.apache.org/confluence/display/WW/S2-045
  [2] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
  [3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
 
 =======================================================

Apache Struts2 원격코드실행 취약점 주의!(CVE-2017-5638, S2-046)

최근 S2-045 취약점과 유사한 원격코드실행 취약점이 또 다시 발견되었습니다.

취약점 개요

악성 Content-Disposition값 혹은 부적절한 Content-Length 헤더를 이용하여 원격코드를 실행할 수 있는 취약점 입니다. 해당 취약점은 S2-045와 유사하지만, 사용하는 공격 벡터가 다릅니다.

CVE 번호

CVE-2017-5638

PoC

POST /doUpload.action HTTP/1.1
Host: localhost:8080
Content-Length: 10000000
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z
Connection: close
------WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"
Content-Type: text/plain
Kaboom
------WebKitFormBoundaryAnmUgTEhFhOZpr9z--

해결방법

1) Apache Struts 2.3.2 혹은 2.5.10.1로 업데이트
(▶참고 : Struts 2.3.32 업데이트, Struts 2.5.10.1업데이트)

2) 만약 업데이트를 할 수 없는 상황 중 Apache Struts 2.3.8 – 2.5.5 혹은 2.3.20 – 2.5.5버전 사용자라면 새로개발된 플러그인 사용
(▶참고 : https://github.com/apache/struts-extras)

3) 만약 업데이트를 할 수 없는 상황 중 Struts 2.5.8 – 2.5.10 사용자라면 스택에서 File Upload Interceptor 삭제하고 스택을 정의하고 기본으로 설정한다.
(▶참고 : https://cwiki.apache.org/confluence/display/WW/How+do+we+configure+an+Interceptor+to+be+used+with+every+Action)

참고 :
https://cwiki.apache.org/confluence/display/WW/S2-045
https://cwiki.apache.org/confluence/display/WW/S2-046
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNAr_RLyvpR

출처: http://blog.alyac.co.kr/1025 [알약 공식 블로그]

==============================================================