[ad_1]
인포섹 개요 Progress Software의 MOVEit 파일 전송 소프트웨어의 버그 악용으로 인한 여파는 계속되고 있으며, 현재 미국 증권거래위원회(SEC)가 이 문제를 조사하고 있으며 영향을 받은 많은 당사자들이 보상을 요구하고 있습니다.
분기별 SEC 10-Q 제출을 통해 기업 책임이라는 악풍이 불고 있다는 사실이 인정되었습니다. 공개된 내용에 따르면, 10월 2일 SEC로부터 소환장을 받았으며 위원회는 “MOVEit 취약점과 관련된 다양한 문서와 정보”를 요청했습니다.
“현 단계에서 SEC 조사는 사실 조사이며, 조사가 Progress나 다른 사람이 연방 증권법을 위반했다는 의미는 아닙니다.”라고 애플리케이션 공급업체는 설명하며 전적으로 협력할 계획이라고 덧붙였습니다.
Progress는 또한 이번 위반과 관련하여 미국과 다른 국가에서 수많은 소송에 직면해 있음을 인정했습니다. 이는 7월 현재 직면한 것으로 알려진 12건 정도의 소송을 훨씬 초과하는 것입니다.
Progress는 서류에서 “우리는 MOVEit Transfer 고객의 환경에서 데이터 유출로 인해 영향을 받았다고 주장하는 개인이 제기한 58건의 집단 소송의 당사자입니다”라고 밝혔습니다. 이 사건들은 이번 달 초 매사추세츠에서 단일 소송으로 통합되었습니다.
다시 말하지만 그게 전부는 아닙니다.
Progress는 또한 23명의 MOVEit 고객으로부터 취약점으로 인해 비용이 발생했다고 주장하는 “공식 편지”를 받았으며 일부는 “면책을 모색할 의사가 있음을 표시”했습니다. 또한 Progress는 보험사로부터 대위권 주장을 받고 있는데, 이는 “MOVEit 취약점과 관련하여 발생한 모든 비용에 대한 회수를 모색하고 있다”는 의미입니다.
“우리는 또한 국내외 데이터 프라이버시 규제 기관의 여러 문의 사항과 여러 주 법무 장관의 문의 사항에 협조해 왔으며 익명의 연방 법 집행 기관에서도 조사를 받고 있습니다.”
다른 Progress 파일 전송 앱인 WS_FTP에서 최근 발견된 익스플로잇은 SEC 서류에서 거의 언급되지 않았습니다. Progress는 문제를 패치하고 적극적인 악용을 인정했다고만 썼습니다.
금주의 심각한 취약점
이번 주에는 Fortinet의 최신 심각한 취약점 및 알려진 익스플로잇 목록을 시작합니다. Fortinet은 FortiSIEM, FortiManager 및 FortiAnalyzer의 중요한 업데이트 쌍을 포함하여 여러 보안 업데이트를 출시했습니다.
다수의 FortiSIEM 버전은 권한 상승으로 이어질 수 있는 여러 CVSS 9.7 수준 경로 탐색 취약성에 취약한 반면, FortiManager 및 FortiAnalyzer(여러 버전)는 특별히 제작된 HTTP 요청(CVSS 8.6)을 통한 권한 상승에 취약합니다. 두 문제 모두에 대한 패치가 제공됩니다.
산업 제어 시스템의 경우 CISA가 19개 항목 알림 목록을 발표했음에도 불구하고 심각한 문제는 몇 가지에 불과했습니다.
- CVSS 9.8 – 다중 CVE: Siemens SCALANCE W1750D WAP에는 공격자가 정보를 공개하고, 서비스를 거부하고, 원격으로 코드를 실행할 수 있는 일련의 취약점이 포함되어 있습니다.
- CVSS 9.8 – CVE-2023-36380: Siemens CP-8031 및 CP-8050 마스터 모듈은 SSH Authorized_keys 구성 파일에 하드 코딩된 ID를 저장하여 개인 키를 가진 모든 사람에게 영향을 받는 장치(디버그 지원 장치)에 대한 로그인 액세스 권한을 제공합니다. 활성화되었습니다.
- CVSS 9.8 – 다중 CVE: 여러 CMT3000 시리즈 장치에 사용되는 Weintek의 공통 게이트웨이 인터페이스에는 공격자가 제어 흐름을 가로채고 인증을 우회할 수 있는 취약점이 포함되어 있습니다.
- CVSS 9.1 – CVE-2023-4562: Mitsubishi Electric의 MELSEC-F PLC의 여러 모델이 부적절하게 인증되어 원격 공격자가 변조할 수 있습니다.
- CVSS 8.0 – CVE-2023-43625: V2021.1 이전의 Siemens Simcenter Amesim 소프트웨어의 모든 버전은 공격자가 DLL 주입을 수행하고 임의 코드를 실행할 수 있는 코드 주입에 취약합니다.
새로 발견된 알려진 악용 취약점에 관해서는 이번 주 다른 곳에서는 다루지 않았다고 보고할 수 있는 취약점이 몇 개밖에 없습니다. 다른 것만큼 심각하지는 않지만 여전히 야생에서 악용되고 있으므로 주의하세요.
- CVSS 7.8 – CVE-2023-21608: 사용자가 Acrobat Reader 버전 22.003.20282 또는 20.005.30418 이하에서 악성 PDF를 열면 공격자가 임의 코드를 실행할 수 있도록 허용하는 Use After Free 취약점의 영향을 받을 수 있습니다.
- CVSS 6.6 – CVE-2023-20109: Cisco GET VPN은 공격자가 코드를 실행하고 영향을 받는 장치를 충돌시킬 수 있는 OOB 쓰기 공격에 취약합니다.
CISA, 새로운 랜섬웨어 위험 목록 리소스 추가
미국 사이버보안 및 인프라 보안국(CSA)은 랜섬웨어 취약성 경고 파일럿 프로그램의 일환으로 두 가지 새로운 이니셔티브를 통해 랜섬웨어 감염을 예방하기 위해 싸우는 사람들을 위한 리소스 풀을 확장하고 있습니다.
첫 번째는 적극적으로 악용된 약점이 랜섬웨어 캠페인에 사용되는 것으로 알려져 있는지 여부를 나타내는 기관의 알려진 악용 취약점 카탈로그의 새로운 열 형식을 취합니다.
변경 사항은 이미 카탈로그에 추가된 모든 취약점에 적용되어 있습니다. 앞서 언급한 Progress 소프트웨어 익스플로잇은 Log4j 및 기타 잘 알려진 취약점과 함께 모두 랜섬웨어 공격자가 사용했음을 나타냅니다.
두 번째이자 환경을 강화하려는 사람들에게 더 중요한 것은 랜섬웨어 캠페인에 사용되는 것으로 알려진 잘못된 구성 및 약점의 새로운 목록입니다. 카탈로그는 CVE 기반이 아니며 여전히 매우 짧으며 RDP, VNC, SMB 등과 같은 취약한 서비스와 잘못된 구성을 악용하는 데 일반적으로 사용되는 포트를 나열합니다.
지난 달 맬웨어 인젝터를 추가하기 위해 17,000개가 넘는 WordPress 사이트가 해킹당했습니다.
사이버 보안 회사이자 GoDaddy 자회사인 Sucuri는 최근 보고서에서 17,000개 이상의 WordPress 웹사이트가 WordPress 프리미엄 테마 제작업체 tagDiv에서 사용하는 Composer 플러그인의 크로스 사이트 스크립팅 취약점에 의해 공격을 받았다고 밝혔습니다.
출처가 의심스러운 플러그인이나 소프트웨어 공급망이 포함된 다양한 테마를 사용하는 WordPress 구현에서는 크로스 사이트 스크립팅 공격이 새로운 문제가 아니며, 이번 최신 문제도 거의 비슷한 것 같습니다.
이 경우 tagDiv의 Composer 플러그인은 Newspaper 및 Newsmag 프리미엄 테마에 사용되며 Sucuri에 따르면 135,000명 이상의 유료 고객이 이 테마를 사용하고 있습니다. Newsmag는 다른 18,579개 사이트에서 사용되고 있지만 두 수치 모두 해당 주제의 해적판을 설명하지 못한다고 Sucuri는 지적했습니다.
Balada와 같은 인젝터는 합법적인 서비스를 탈취하고 웹사이트에서 악성 코드를 실행하여 사용자를 피싱하고, 자격 증명을 탈취하고, PII를 훔치는 등의 작업을 수행하는 데 사용될 수 있습니다. Sucuri는 보고서에 감염 완화 단계를 포함하고 있습니다. WordPress 사이트를 검사하여 악성 코드를 검사하는 것부터 시작합니다. Sucuri가 유용하게 사용할 수 있는 도구입니다. ®
