![[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core](https://asec.ahnlab.com/wp-content/uploads/2021/12/38_security-alert_01.png)
[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core
안랩은 Apache Log4j 취약점 보안 업데이트를 권고하고 있다. Apache Log4j 취약점 정보 취약점 Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [1] Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45046, CVSS 3.7) [2] Log4j
Apache Log4j 2 취약점 주의 및 업데이트 권고
Apache Log4j 2 취약점(CVE-2021-44228)이 2021년 12월 10일 POC와 함께 트윗 및 Github에 공개되었다. 해당 취약점은 Log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있다. 이는 알리바바의 클라우드 보안팀이 2021년 11월 24 일에 Apache 소프트웨어 재단에 최초 보고하였으며, 첫 패치는 2021년
CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서
ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수
특정 항공사 자소서로 위장한 RTF 악성코드
ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다. 유포 파일명 : ****항공사 자소서_.rtf 해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용
Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석
안랩 ASEC 분석팀은 이전 블로그들을 통해 국내 기업을 타겟으로 유포중인 내용에 대해서도 언급한 바 있듯, 최근 보안 이슈 중 하나인 Cobalt Strike의 활동을 지속해서 모니터링 하고 있다. (본 게시글 하단에 이전 블로그 링크 존재) 모니터링 중 특정 IP에서 7월 15일과 8월 2일에 Cobalt Strike 활동이 발생했음을 감지하고 해당 IP의 고객사에
국내 MS Exchange Server 취약점 공격 정황 포착 (2)
ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다.
국내 MS Exchange Server 취약점 공격 정황 포착
Microsoft 는 지난 3월 2일 MS Exchange Server 와 관련된 아래 7 개의 원격 명령 실행 취약점을 보고하였다. 해당 취약점은 Exchange Server 에 대한 인증, 권한 획득, 파일 쓰기 등 을 통해 임의의 명령을 실행할 수 있게 된다. 또한 해당 공격을 통해 사용자 정보 탈취 및 악성 파일 설치 등의
한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격
ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다. 이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)
매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다. 아래 [그림
IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)
CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1) ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘
