인기 높은 DNS 소프트웨어인 DNS마스크에서 7개 취약점 발견돼...캐시 포이즈닝 허용
구글은 어도비 플래시 없어진 새 크롬 발표해...36개의 취약점 해결하기도
[보안뉴스 문가용 기자] 솔라윈즈 사태에 대한 새로운 사실들이 드러났다. 레인드롭이라는 멀웨어도 발견됐고, 보안 업체 멀웨어바이츠도 피해 기업이 되었다. 인기 높은 DNS 캐싱 소프트웨어인 DNS마스크에서 취약점이 다수 발견됐다. 캐시 포이즈닝 및 장비 장악 공격이 가능하다고 한다. 구글은 취약점이 해결되고 플래시가 사라진 크롬 88을 새롭게 발표했다.
[이미지 = utoimage]
[The Register] 파이어아이, 솔라윈즈에 관한 새 내용과 탐지 도구 발표 :
솔라윈즈 공격의 첫 번째 피해자 중 하나였던 파이어아이(FireEye)가 새로운 연구 결과를 발표했다. 공격자들이 노린 건 두 부류로, 고급 정보에 대한 접근 권한을 가진 자들과 시스템 관리자들이라는 결론이 이번 보고서에 나와 있다. 또한 디지털 인증서와 토큰을 위조하는 방식으로 접근했기 때문에 탐지가 힘들었을 수밖에 없다는 내용도 포함되어 있다. 깃허브에 새로운 탐지 도구를 공개하기도 했다.
[Security Affairs] 보안 업체 멀웨어바이츠도 솔라윈즈 공격에 당했다 :
솔라윈즈 공격자들이 보안 업체 멀웨어바이츠(Malwarebytes)의 이메일 시스템도 해킹한 것으로 밝혀졌다. 이로써 보안을 다루는 전문 기업들 중 솔라윈즈에 당한 곳이 네 곳(파이어아이, 마이크로소프트, 크라우드스트라이크)으로 늘어났다. 멀웨어바이츠는 솔라윈즈의 제품을 사용하지 않는 업체였기에 마이크로소프트 365와 애저를 통한 침투가 의심되는 상황이라고 한다.
[Help Net Security] DNS마스크 소프트웨어에서 7개 취약점 발견돼 :
DNS 캐싱 및 IP 주소 할당에 사용되는 인기 높은 소프트웨어인 DNS마스크(DNSMasq)에서 7개의 취약점이 발견됐다. 이 취약점들을 익스플로잇 할 경우 이른 바 DNS 캐시 포이즈닝 공격이 가능하다고 한다. 뿐만 아니라 네트워크 장비들의 장악 역시 가능하게 된다. DNS마스크는 구글, 콤캐스트, 시스코, 레드햇, 넷기어 등 덩치 큰 기업들에서도 사용하는 소프트웨어다.
[BankInfoSecurity] 솔라윈즈 사태와 엮인 또 다른 멀웨어, 레인드롭 :
솔라윈즈(SolarWinds) 공급망 공격에 사용된 또 다른 멀웨어가 발견됐다. 이름은 레인드롭(Raindrop)이며, 일종의 로더라고 한다. 공격자들은 레인드롭을 통해 모의 해킹 도구인 코발트 스트라이크(Cobalt Strike)를 심은 것으로 보인다. 이로써 선버스트(Sunburst), 선스폿(Sunspot), 티어드랍(Teardrop)까지 합해 총 네 개의 멀웨어가 현재까지 발견되었다.
[GBHackers] MS, 제로로그온 취약점 해결키 위해 도메인 제어기 모드 활성화 :
MS가 이제부터 도메인 제어기 실행 모드(Domain Controller enforcement mode)가 활성화 되어 있도록 디폴트 설정을 바꾼다고 한다. 제로로그온(Zerologon)이라고 불리는 취약점을 해결하기 위해서다. 제로로그온 취약점은 넷로그온 원격 프로토콜(Netlogon Remote Protocol)에서 발견된 것으로, 익스플로잇 할 경우 공격자가 도메인 제어기에 접근할 수 있게 된다.
[Phoronix] 구글, 어도비 플래시 삭제된 크롬 88 공개 :
구글이 크롬 새 버전인 88을 공개했다. 36개의 보안 픽스들이 적용됐고, 어도비 플래시 플레이어에 대한 지원이 완전히 사라졌다는 게 가장 큰 특징이다. 보안 픽스들 중에는 치명적인 위험도를 가진 취약점에 대한 것도 포함되어 있다고 한다. 그 외에 FTP에 대한 지원도 이번 버전을 통해 사라지게 되었다.
[Internet Storm Center] 휴식 기간 가진 칵봇, 다시 활동 시작해 :
연말 연시 기간 동안 푹 쉰 칵봇(Qakbot) 운영자들이 다시 나타났다. 칵봇은 봇넷 멀웨어로 크리스마스와 새해 기간 동안 별 다른 활동이 없었다. 최근에는 악성 ZIP 파일을 첨부한 이메일을 통해 유포되는데, 이 파일의 압축을 풀면 엑셀 스프레드시트가 나타난다고 한다. 여기서 악성 매크로가 활성화 되면서 DLL이 다운로드 된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>