[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core

[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core

안랩은 Apache Log4j 취약점 보안 업데이트를 권고하고 있다. Apache Log4j 취약점 정보 취약점 Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [1] Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45046, CVSS 3.7) [2] Log4j

Apache Log4j 2 취약점 주의 및 업데이트 권고

Apache Log4j 2 취약점 주의 및 업데이트 권고

  Apache Log4j 2 취약점(CVE-2021-44228)이 2021년 12월 10일 POC와 함께 트윗 및 Github에 공개되었다. 해당 취약점은 Log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있다. 이는 알리바바의 클라우드 보안팀이 2021년 11월 24 일에 Apache 소프트웨어 재단에 최초 보고하였으며, 첫 패치는 2021년

CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서

CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서

ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수

Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석

Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석

  안랩 ASEC 분석팀은 이전 블로그들을 통해 국내 기업을 타겟으로 유포중인 내용에 대해서도 언급한 바 있듯, 최근 보안 이슈 중 하나인 Cobalt Strike의 활동을 지속해서 모니터링 하고 있다. (본 게시글 하단에 이전 블로그 링크 존재) 모니터링 중 특정 IP에서 7월 15일과 8월 2일에 Cobalt Strike 활동이 발생했음을 감지하고 해당 IP의 고객사에

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

  매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된

V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신

V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber)

V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2021년 3월 기존 CVE-2020-0968 취약점 대신 CVE-2021-26411 취약점을 사용하는 스크립트로 변경되었다. 매그니베르(Magniber) 랜섬웨어는 여전히 국내 피해사례가 많은 상황이며, IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. V3 제품에 탑재된 ‘프로세스 메모리 진단‘ 기능으로 최신 메그니베르(Magniber)의 탐지/차단이 가능하다. 매그니베르 랜섬웨어는 IE 브라우저

주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중

주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중

매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기