2022-01-24 Mon

Created: January 24, 2022 11:29 AM 1. log4j 3가지 취약점 추가 공개 Reference: https://logging.apache.org/log4j/1.2/ / https://www.boannews.com/media/view.asp?idx=104304&page=1&mkind=1&kind= CVE-2022-23302, CVE-2022-23305, CVE-2022-23307가 추가되었으며, 각각 JMSSink, JDBCAppender, Chainsaw 모듈에 존재하는 취약점이다. 1. CVE-2022-23302 영향 받는 버전: Apache log4j 1.x 버전에서 JMSSink를 사용하도록 구성된 경우 JMSSink에서 발생하는 역직렬화 취약점이다. 공격자는 JMSSin..

2022-01-18 Tue

Created: January 18, 2022 3:27 PM 1. CVE-2022-21907 Reference: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907 / https://github.com/nu11secur1ty/Windows10Exploits/tree/master/2022/CVE-2022-21907 / https://www.nu11secur1ty.com/2022/01/cve-2022-21907.html MS Windows의 HTTP 프로토콜 스택(http.sys)은 http request를 처리하는 커널 드라이버이다. 해당 RCE 취약점은 공격자가 http.sys 를 사용하여 조작된 패킷을 피해자에게 전송하여..

2022-01-17 Mon

Created: January 17, 2022 12:06 PM 1. MS에서 우크라이나 겨냥한 사이버 공격에서 파괴형 멀웨어(WhisperGate) 발견 Reference: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ https://www.boannews.com/media/view.asp?idx=104145&page=1&mkind=1&kind=1 MS에서 우크라이나 정보를 타겟으로 한 새로운 malware를 발견했다. 이름은 WhisperGate이며, MBR을 파괴한다. 랜섬웨어처럼 위장했지만 복구 매커니즘 없이 시스템 파괴만 진행된다. 악성코드는 C:\Perf..

2022-01-13 Thur

Created: January 13, 2022 2:55 PM 1. 윈도우, 맥 OS, 리눅스를 노리는 새로운 SysJoker 백도어 Reference: https://www.bleepingcomputer.com/news/security/new-sysjoker-backdoor-targets-windows-macos-and-linux/ 윈도우, 리눅스, 맥 모두에서 탐지를 피할 수 있는 다중 플랫폼 백도어 악성코드 SysJoker가 발견되었다. C++로 작성되었으며, VirusTotal의 안티바이러스 엔진 57개 모두 악성코드를 탐지할 수 없었다. 윈도우 기준으로 PowerShell 명령을 통해 dll 형식의 1단계 드로퍼를 사용한다. Github에서 SysJoker zip파일 가져오기 C:\ProgramD..

2022-01-12 Wed

Created: January 12, 2022 10:09 AM 1. CVE-2022-21850 Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21850 / https://www.cybersecurity-help.cz/vdb/SB2022011185 Remote Desktop Client에 존재하는 RCE 취약점이다. 해당 취약점은 Remote Desktop Client의boundary error에 의해 발생하며, 악의적인 RDP server에 영향을 받는 버전의 Remote Desktop Client가 연결할 경우에 취약하다. 메모리 손상 및 RCE가 가능하다. 2. CVE-2022-21960 Reference: https://cve..

2022-01-11 Tue

Created: January 11, 2022 10:24 AM 1. VMware ESXi 서버를 타겟으로 하는 AvosLocker 랜섬웨어(리눅스 버전) Reference: https://www.bleepingcomputer.com/news/security/linux-version-of-avoslocker-ransomware-targets-vmware-esxi-servers/ AvosLocker는 VMware ESXi 가상 머신들을 타겟으로 한, 리눅스에서도 암호화가 가능한 랜섬웨어이다. 해당 랜섬웨어는 파일을 암호화 하기 전에 ESXi VM들을 모두 종료시킨다. esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process ..

2022-01-10 Mon

Created: January 10, 2022 10:34 AM 1. CVE-2021-42392 Reference: https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/ 아파치 log4j(JNDI remote class loading)과 동일한 root cause를 가진 취약점이 H2 database console에서 발견되었다. H2는 java DBMS의 H2 Console를 사용하는 경우에 발생하는 취약점이다. Log4shell 취약점과 동일하게 jndi를 이용하여 코드를 실행시킬 수 있다. 기본적으로 H2 Console은 localhost 연결만 받아들이기 때문에 안전하지만, 원격 연결이 존재하는..

2022-01-09 Sun

Created: January 9, 2022 9:22 PM 1. CVE-2021-44024 Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44024 Trend Micro Apex One(On-premise와 클라우드 기반 소프트웨어(SaaS)) 및 Micro Worry-Free Business Security (10.0 SP1 and Services)에서 확인되었으며 로컬에서 공격자가 SYSTEM 권한으로 악의적인 파일 쓰기가 가능한 취약점이다. 취약점을 악용하기 위해서 공격자는 대상 시스템에서 low-privileged 코드 실행이 가능해야한다. 2. Google Docs의 주석 기능을 활용한 새로운 피싱 공격 Reference:..