취약점
-
아파트 월 패드 해킹과 스마트 홈(Smart Home) 보안(Security)Security 2022. 1. 5. 10:23
0. Why - 보안 취약점이 내제된 Smart Home 제품으로 인한 아파트 월 패드 해킹으로 인한 Privacy 침해사고 발생 1. 디지털로 진화하는 주거공간, 스마트 홈의 개요 정의 에너지, 가전제품, 보안기기를 네트워크로 연결하여 모니터링 및 제어하는 기술 특징 사용자 편의성, 보안 취약점, CC인증, 설계부터 보안 내제화 2. 스마트 홈의 보안 취약점 구분 취약점 내용 네트워크 망분리 미흡 - 아파트 네트워크 공유 - 세대간 망분리 미적용 Smart Device 취약한 인증 - 초기 비밀번호 미설정 - 보안 미인증 제품 사용 정책 법.제도 미흡 - '지능형 홈네트워크 설비 설치 및 기술기준' 표류 - 업계 이해관계 상충 사용자 인식 보안 인식 부족 - 비밀번호 보안강도 미흡 - 보안 위협에 대한..
-
Apache Log4j 보안 업데이트 권고(CVE-2021-45105) (Update. 21-12-22 13:40)Security 2021. 12. 23. 16:10
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1] o 공격자는 해당 취약점을 이용하여 정상 서비스 중지 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다. □ 주요 내용 o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[2] ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향을 받는 버전 o CVE-2021-45105 - 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.3.1, 2.12.3 제외) □ 대응방안 o 제조사 홈페이지를 통해 최신버전으로 ..
-
OWASP Top10 2021Security 2021. 12. 23. 11:36
OWASP(Open Web Application Security Project) 1. OWASP Top10 2017 대비 변경된 내용 2. OWASP Top10 2021 상세내용 구분 유형 상세 대응방법 A1 Broken Access Control (접근 권한 취약점) - 다른 사용자의 계정 및 데이터에 접근해 중요한 파일을 보거나 권한을 수정한다 - 최소 권한 부여 - ACL 적용 - 목록 비활성화 A2 Cryptographic Failures (암호화 오류) - 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출된다. - 데이터 분류 및 통제 - 규정준수, 암호화, Salt - 최신 표준 알고리즘 A3 Injection (인젝션) - SQL, OS, ORM, LDAP 등의 신뢰할 수 없는 데이터 가..
-
원격 코드 실행(Remote Code Execution)Security 2021. 12. 21. 16:13
0.why - log4j 취약점을 이용한 공격이 원격 코드 실행 1.개념 원격 코드 실행(Remote Code Execution)이란, 대상 시스템의 취약점을 이용해 인가 받지 않은 사용자가 원격으로 접속하여 악성 코드를 실행하는 것 2.주요 원격 코드 실행 취약점 사례 - 윈도 SMBv3 취약점(CVE-2020-0796) - 안드로이드 블루투스 취약점 (CVE-2020-0022) - 리눅스 PPP(Point-to-Point Protocol) 데몬(Daemon) 취약점 (CVE-2020-8597) - Log4j JndiLookup 취약점 (CVE-2021-44228, CVE-2021-45046) - Log4j JMSAppender 취약점(CVE-2021-4104) 3.원격 코드 실행 취약점 대응방안 - ..
-
Log4j 취약점 및 대응방안; CVE-2021-44228(Log4Shell 혹은 LogJam 명명)카테고리 없음 2021. 12. 15. 09:45
0.why - 테나블(Tenable)에서는 이 사태를 '하트블리드와 CPU 게이트 따위는 비교도 안 될 만큼, 컴퓨터 인터넷 역사를 통틀어 사상 최악의 보안 결함일 수도 있다'고 경고 - 국내에서도 아주 많은 수의 시스템이 Log4j를 사용중 1.개요 - 아파치 소프트웨어 재단의 Java 프로그래밍 언어로 제작된 Log4j 라이브러리를 사용하는 대부분의 인터넷 서비스에서 매우 중대한 보안 취약점이 발견된 사건 2.심각성 - 아파치 소프트웨어 재단에서 이 취약점을 보안 위협 수준, CVSS 스코어를 1~10 단계 중 최고 등급인 '10단계'로 평가 - 보안 업체 '텐에이블'의 CEO는 "최근 10년간 가장 치명적이고 거대한 취약점으로, 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수 있다"라는 말함. -..
-
Log4jSecurity 2021. 12. 15. 09:05
0. why - 심각한 보안 취약점 발견(CVE-2021-44228) : Log4Shell 혹은 LogJam으로 명명된 취약점 1.개념(Log4j : Log for Java) - 시스템 로그문의 출력을 다양한 포맷으로 기록 할 수 있도록 도와주는 아파치 재단의 JAVA로 작성된 오픈소스 라이브러리 도구 2.특징 - 융통성이 풍부(어디에도 적용이 쉽다) - 설정 파일은 property 파일, XML 형식으로 실행 중 수정 적용 가능 - 처음부터 자바의 예외를 처리하기 위해 디자인 - 출력을 파일, 콘솔, java.io.OutputStream, java.io.Writer, TCP를 사용하는 원격서버, 원격 Unix Syslog 데몬, - 원격 JMS 구독자, 윈도우NT EventLog로 보낼 수 있고, 심지..