Only W0N in Security Intelligence

개요
 o 구글社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
 o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
 
설명
 o 크롬 브라우저의 Cast UI에서 발생하는 Use-after-free 취약점 등 8건(CVE-2022-0790, CVE-2022-0791, CVE-2022-0793 등 8건)
 o 크롬 브라우저의 ANGLE에서 발생하는 힙 오버플로 취약점 등 13건(CVE-2022-0789, CVE-2022-0800, CVE-2022-0801 등 13건)

영향을 받는 버전 및 해결 버전

  ※ 하단의 참고 사이트를 확인하여 업데이트 확인 및 수행 [2]

기타 문의사항

 o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트
[1] https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop.html
[2] https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=ko
 


작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36474 

개요
 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지
 o 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트 권고

설명
 o Cisco NX-OS 소프트웨어의 NX-API에서 발생하는 명령 주입 취약점(CVE-2022-20650)[1]
 o Cisco Nexus 9000 시리즈 스위치에서 발생하는 서비스 거부 취약점(CVE-2022-20623)[2]
 o Cisco NX-OS 소프트웨어의 Cisco Fabric Services Over IP에서 발생하는 서비스 거부 취약점(CVE-2022-20624)[3]
 o Cisco Expressway Series 및 Cisco TelePresence VCS에서 발생하는 임의 파일 쓰기 취약점(CVE-2022-20754)[4]
 o Cisco Expressway Series 및 Cisco TelePresence VCS에서 발생하는 명령 주입 취약점(CVE-2022-20755)[4]
 o Cisco Ultra Cloud Core에서 발생하는 권한 상승 취약점(CVE-2022-20762)[5]
 o Cisco Identity Services Engine의 RADIUS기능에서 발생하는 서비스 거부 취약점(CVE-2022-20756)[6]
 o Cisco FXOS 및 NX-OS 소프트웨어에서 발생하는 서비스 거부 취약점(CVE-2022-20625)[7]
 o Cisco StarOS에서 발생하는 명령 주입 취약점(CVE-2022-20665)[8]

영향받는 제품 및 해결 방안
※ 참고 사이트에 명시되어 있는 ‘Fixed Software’ 내용을 참고하여 패치 적용

기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-nxapi-cmdinject-ULukNMZ2
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-bfd-dos-wGQXrzxn
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cfsoip-dos-tpykyDr
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-filewrite-87Q5YRk
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccsmi-prvesc-BQHGe4cm
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-dos-JLh9TxBp
[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cdp-dos-G8DPLWYG
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-cmdinj-759mNT4n
 
작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36473 

개요
 o 우크라이나 사태 관련 사이버 공격 대비 보안 강화 요청
  ※ 최근 우크라이나 주요 홈페이지 대상 DDoS 공격으로 인한 서비스 장애가 발생하는 등 국내 영향 대비 각 기업의 철저한 보안점검 및 대비 필요


정부 대응현황
 o 우크라이나 사태 관련 국내에 미칠 수 있는 사이버위협 상황발생에 대비하여 범정부 차원의 비상대응체계 강화 중
 o 국가, 공공기관 대상 보안권고문을 전파하여 주요 시스템 및 기반시설 대상 취약요인 점검 지시
 o 금융기관 등 대국민 주요 서비스 대상 홈페이지 위변조 및 DDoS 공격, 랜섬웨어 공격 등에 대비해 24시간 모니터링 강화


보안권고사항
 o 각 기관 및 기업은 DDoS 등 사이버 공격 대비 자사 홈페이지 및 주요 시스템에 대한 모니터링 및 보안 강화
 o 중요 파일 및 문서 등은 네트워크와 분리된 정기적인 오프라인 백업 권고
 o 메일에 첨부된 악성 첨부파일이나 악성 링크를 클릭하지 않도록 직원들에게 전파
 o 운영체제, 어플리케이션, 펌웨어등을 포함한 소프트웨어의 최신 보안 업데이트 적용
 o 일반 국민들께서는 관련 이슈를 악용한 문자결제사기(스미싱) 주의 등 정보보안 수칙 준수 필요

 
침해사고 신고
 o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
    ※ 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담 및 신고→ 해킹사고 

 o DDoS 공격 사전 대비 및 공격 발생 시 DDoS 방어서비스 이용
    ※ 영세·중소기업은 한국인터넷진흥원에서 무료로 제공하는 DDoS 방어서비스(antiddos@krcert.or.kr, 02-405-4769)           신청
    ※ 그 외 기관·기업은 통신사 등 민간 디도스 공격 방어 서비스 활용을 통한 사전 예방 및 대응


기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 작성 : 침해대응단 상황관제팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36471

개요
 o 최근 QNAP 및 Asustor NAS 취약점을 이용하여 데드볼트 랜섬웨어가 유포되고 있으므로 기업 담당자들의 철저한 사전 보안 점검 및 대비 필요
 o 취약한 버전을 사용하는 QANP NAS 제품 사용자는 최신버전으로 업데이트하고 Asustor NAS 제품 사용자는 보안 업데이트가 발표되기 전까지 아래와 같은 방법으로 랜섬웨어 예방 및 대응 권고

설명
 o QNAP社 NAS 제품군에서 발생하는 원격코드실행 취약점[1]
 o Asustor社 NAS 제품군에서 발생하는 취약점

해결 방안
 o QNAP NAS 제품 사용자는 해당 취약점이 해결된 최신버전으로 업데이트 수행 [1]
   - QTS 5.0.0.1891 build 20211221 이상 버전
   - QTS 4.5.4.1892 build 20211223 이상 버전
   - QuTS hero h5.0.0.1892 build 20211222 이상 버전
   - QuTS hero h4.5.4.1892 build 20211223 이상 버전
   - QuTScloud c5.0.0.1919 build 20220119 이상 버전
     ※ 제조사 홈페이지의 “Recommendation” 항목 참고
 o Asustor NAS 제품 사용자는 아래 방법에 따라 침해사고 예방 및 대응[2]
     ※ 향후 Asustor NAS 제조사에서 관련 업데이트 및 보안패치 발표 시 즉시 적용

Asustor NAS 발생 취약점 예방법[2]
 o 기본 NAS 웹 포트인 8000, 8001 및 원격 접근 포트인 80, 443 등 기본 포트 변경 권고
 o Asustor EZ 연결을 비활성화하고 중요 자료는 네트워크와 분리된 별도의 저장소에 백업 권고
 o 서버 관리를 위해 외부에 오픈된(터미널, SSH, SFTP 등) 서비스 접근 차단

Asustor NAS 랜섬웨어 감염 시 대응법[2]
 o 이더넷 네트워크 케이블 분리
 o 전원 버튼을 3초 동안 눌러 NAS를 안전하게 종료
 o Asustor NAS를 초기화하면 내부 데이터가 지워지므로 초기화 자제

기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

참고사이트
[1] https://www.qnap.com/en/security-advisory/qsa-22-02
[2] https://www.asustor.com/en/knowledge/detail/?id=&group_id=628


작성 : 침해사고분석단 취약점분석팀

개요
 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지
 o 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트 권고

설명
 o Cisco IOS XE SD-WAN 소프트웨어에서 발생하는 CLI 명령어 주입 취약점(CVE-2021-1529)

영향받는 제품 및 해결 방안

 ※ 참고 사이트에 명시되어 있는 ‘Fixed Software’ 내용을 참고하여 패치 적용

기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-rhpbE34A

작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36458 

개요
 Apache Cassandra에서 원격 코드 실행이 가능한 취약점이 발견됨에 따라 낮은 버전을 사용 중인 시스템 사용자는 최신 버전으로 업데이트 조치 권고

설명
 Apache Cassandra에서 발생하는 원격코드실행 취약점(CVE-2021-44521)[1]
 
영향받는 버전 및 해결 방안

※ 제조사 홈페이지를 통해 최신 버전으로 업데이트 적용
 
기타 문의사항
한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트
https://nvd.nist.gov/vuln/detail/CVE-2021-44521
https://cassandra.apache.org/_/download.html


작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36453&queryString=cGFnZT0yJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9 

개요
- 모질라 재단은 Thunderbird의 취약점을 해결한 보안 업데이트 발표
- 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고

설명
- Thunderbird에서 조작된 이메일 열람 시 발생하는 out-of-bounds write취약점(CVE-2022-0566)

영향받는 제품 및 최신 버전

※ 하단의 참고사이트를 확인하여 업데이트 수행
 
기타 문의사항
- 한국인터넷진흥원 사이버민원센터: 국번없이 118

참고사이트
https://www.mozilla.org/en-US/security/advisories/mfsa2022-07/
https://support.mozilla.org/ko/kb/updating-thunderbird
 


□ 작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36452&queryString=cGFnZT0yJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9 

개요
- VMware社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표
- 낮은 버전을 사용중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

설명
- VMware ESXi, Workstation, Fusion의 XHCI USB controller에서 발생하는 Use-after-free 취약점(CVE-2021-22040)
- VMware ESXi, Workstation, Fusion의 UHCI USB controller에서 발생하는 Double-fetch 취약점(CVE-2021-22041)
- VMware ESXi의 settingsd 접근 권한 티켓에서 발생하는 비인가 사용자 접근 가능 취약점(CVE-2021-22042)
- VMware ESXi의 settingsd 접근 권한 티켓에서 발생하는 경쟁 조건(TOCTOU) 취약점(CVE-2021-22043)
- VMware ESXi에서 발생하는 slow HTTP POST 서비스 거부 취약점(CVE-2021-22050)
- VMware VSphere의 NSX Data Center에서 발생하는 CLI 명령어 주입 취약점(CVE-2022-22945)

영향받는 제품 및 해결 버전

기타 문의사항
- 한국인터넷진흥원 사이버민원센터: 국번 없이 118

참고사이트
https://www.vmware.com/security/advisories/VMSA-2022-0004.html
https://www.vmware.com/security/advisories/VMSA-2022-0005.html


작성 : 침해사고분석단 취약점분석팀

출처 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36451&queryString=cGFnZT0yJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9