보도자료|2016.10.18

Snt_httpinspect 우회 취약점 해결방법

업무 편의 위해 설정한 임의 정책, 공격자 악용해 공격 시도 Snort_httpinspect 우회 취약점, IDS/IPS 벤더 패치 배포 안돼 … 자체 패치 수행·정책 변경해야 방화벽, IPS/IDS와 같은 보안 솔루션의 도입에 따라 이를 회피하기 위한 우회 공격 시도는 계속되고 있고, 이러한 우회 기술(EvasionTechnique)은 갈수록 다양해지고 있다. HTTP Verb Tampering은 이러한 우회 기술 중, 하나로 HTTP 요청 패킷 헤더의 메소드(Method) 필드를 조작해 보안 솔루션이나 웹 서버의 보안 정책을 우회하는 기술이다. 일부 웹 서버 플랫폼은 터널링이나 게이트웨이 등 다양한 기능을 수행하기 위해, RFC에 규정되지 않은 임의의 메소드를 일반적인 웹 통신에서 사용되는 GET 메소드와 동일하게 처리하도록 설계되어 있다. 하지만 공격자들은 이를 악용해 보안 정책을 우회하는 공격을 시도하는 사례가 종종 발생하고 있다. 네트워크 보안 솔루션에서 이러한 HTTP Verb Tampering을 적절히 처리하지 못할 경우, 웹 공격 탐지 룰이 적용돼 있더라도 해당 공격을 탐지하지 못하는 경우가 발생한다 ● 스노트 룰 기반 패턴 매칭 우회 공격 주의 스노트(Snort)는 룰 기반의 패턴 매칭을 통해 네트워크 트래픽을 분석하고 로깅 및 차단하는 오픈 소스 네트워크 침입 탐지 시스템(IDS)으로, 다양한 상용보안 솔루션에서 탐지 엔진으로도 널리 사용된다. 이 프로그램은 잠재적인 악성 트래픽을 탐지하기 위해 전송된 네트워크 트래픽에 스노트 룰을 매칭한다. 스노트의 Snort_httpinspect 모듈은 룰 매칭 전, 수신된 HTTP 트래픽에 대한 사전 처리를 수행하는 전처리 모듈이다. 이 모듈은 수신된 HTTP 패킷의 헤더에서 메소드. URI, User-Agent, cookie, HTTP Body 등의 필드를 분류해 <그림 1과 같이 각 필드의 값을 각 각의 버퍼에 저장한다. Snort_httpinspect 모듈은 HTTP 패킷의 헤더를 필드 별로 분류하기 전에 헤더의 처음 시작 위치에 특정 특수 문자가 존재할 경우, 해당 특수 문자를 헤더에서 제외한다. HTTP 헤더의 처음 시작위치에 ‘0x0E’보다 작고 ‘0x08’보다 크거나, ‘0x20’인 값이 존재하면 헤더의 처음 시작 위치를 가리키는 포인터를 다음 위치로 이동하는데, 이는 2004년 일본의 보안 전문가 카나토코(Kanatoko)가 발견한 HTTP 탐지 룰 우회 취약점을 패치한 코드다. 해당 취약점은 등과 같은 특수 문자를 HTTP 헤더의 처음 시작 위치에 삽입해 uricontent 옵션을 사용한 스노트 룰의 탐지를 우회한다. 하지만 여전히 스노트의 Snort_httpinspect 모듈에 HTTP탐지 룰 우회 취약점이 존재한다. 이 취약점은 카나토코는 취약점 패치 코드에서 임의로 조작된 HTTP 메소드 필드를 적절히 처리하지 못하기 때문에 발생한다. Snort_httpinspect 모듈은 HTTP 헤더의 처음 시작 위치를 가리키는 포인터를 설정한 후, HTTP 헤더의 처음 시작 위치를 가리키는 포인터로부터 공백(Whitespace| x20)이나 nonascii문자까지의 값을 HTTP 메소드 필드로 분류한다. RFC에 따르면 HTTP 리퀘스트 헤더의 첫 번째 라인은 메소드, URI, 버전 필드가 순서대로 위치하고, 각 필드는 공백 (‘ x20’)으로 구분된다. 만약 HTTP 헤더의 메소드 필드에 값이 존재하지 않는다면, 헤더의 처음 시작이 공백(‘ x20’) 으로 시작되고, 카나토코 취약점 패치 코드에 의해서 HTTP 헤더의 처음 시작 위치 포인터가 메소드 필드를 건너뛴 URI 필드의 처음 위치로 설정된다. 이로 인해 <그림 2와 같이 메소드 버퍼에 URI가 URI 버퍼에 버전이 저장되는 등 HTTP 헤더의 각 필드의 값이 잘못 분류돼 제 버퍼에 저장되지 않는다. 이에 따라 스노트 룰에서 uricontent, http_method, http_uri 등과 같이 Snort_httpinspect 모듈에 의해서 전처리된 HTTP 버퍼의 값을 참조하는 옵션을 사용할 경우, HTTP 메소드 필드가 빈 값으로 설정된 패킷을 제대로 탐지하지 못한다. 원격의 공격자는 HTTP 헤더의 메소드 필드를 빈 값으로 조작한 HTTP Verb Tampering을 통해 Snort의 HTTP 관련 탐지 룰을 우회할 수 있다. 공격에 성공한다면, 스노트의 HTTP관련 탐지 룰을 우회해 의도한 공격 트래픽을 목표 시스템에 전송할 수 있다. <그림 3은 <그림 2에 해당하는 공격 트래픽이다. 2016년 09월 현재 벤더에서 배포하는 스노트 프로그램의 최신 정식 버전인 스노트 2.9.8.3는 패치가 이뤄지지 않은 상태이다. 취약한 스노트 버전을 사용하는 침입 탐지 시스템은 해당 취약점에 대한 자체 패치를 수행하거나 해당 취약점에 영향받는 옵션을 사용하는 스노트 룰들을 content 옵션을 사용하도록 수정하고, 관련 Modifier를 삭제할 것을 권고한다. - 영향받는 스노트 옵션 uricontent, http_method, http_uri, http_raw_uri, http_header, http_raw_header, http_cookie, http_raw_cookie, http_client_body, PCRE ‘U’ Modifier, PCRE ‘I’ Modifier, PCRE ‘H’ Modifier, PCRE ‘D’ Modifier, PCRE ‘M’ Modifier, PCRE ‘C’ Modifier, PCRE ‘K’ Modifier 시큐아이 시큐아이 R&D센터개발2팀송병걸

대외행사|2016.09.26

한국교육전산망 서울지역협의회 세미나 참가

시큐바카라 꽁머니는 9월 22일에 진행한 "한국교육전산망 서울지역협의회 세미나"에 참가하였습니다. 서울 및 수도권 지역 70여대 대학 전산 실무자에게 SECUI MF2 AE, SECUI MFI의 제품소개를 하였습니다. 당사는솔루션사업부임상욱 부장의SECUI MF2 AE 대응전략 및신규기능 특징을주제로세션 발표를 하였고, SECUI MF2 AE, SECUI MFI의제품 부스 운영도 함께 하여 참관객들의 이목을 집중시켰습니다. -행사명 : 한국교육전산망 서울지역협의회 세미나 -일시 : 2016년 9월 22일 -장소 : 강원도 삼척시 쏠비치 호텔앤 리조트

보도자료|2016.07.29

바카라 꽁머니보호 RD 기술공유 협의체 출범

'바카라 꽁머니보호 R&D 기술공유 협의체’가 26일 한국인터넷진흥원에서 출범식을 갖았다. ETRI, KISA, NSR 등은 올해공동 선정한 53개 기술을 우선 공개하고 매년 주요 R&D 성과에 따라 이전대상 기술 리스트를 최신화하며, 기존에 개별적으로 진행하던 기술이전 설명회와 기술예고제를 통합 개최하기로 합의했다. 이날 출범식에서는 한국인터넷진흥원, 한국전자통신연구원, 국가보안기술연구소와 안랩, 시큐아이, SK인포섹 등 기업, 바카라 꽁머니보호산업협회등 바카라 꽁머니보호 분야 주요 R&D 기관과 기술 수요기관이 함께 참여해 진행되었다.

보도자료|2016.07.25

시큐바카라 꽁머니 차세대 침입방지 시스템 SECUI MFI V4.0 CC인증 획득

바카라 꽁머니보호 전문기업 ㈜시큐아이(대표 석경협)는 차세대 침입방지 시스템 SECUI MFI V4.0 이 국내공통평가기준(Common Criteria)을 통과하여 EAL4 등급을 획득했다고 22일 밝혔다. 지난 2월 시큐아이가 출시한 SECUI MFI V4.0은 애플리케이션 인지, 내부 자원에 대한 상황 인지, 암호 트래픽 검사 기능을 지원하는 차세대 침입방지 시스템으로 기존의 단순 시그니처 기반의 탐지 위주의 침입방지시스템에서 발생할 수 있는 미탐 및 오탐 문제를 개선하였다. 또한 위협 바카라 꽁머니 수집/분석/공유 시스템인 STIC(SECUI Threat Intelligence Center)와 연동하여 위협에 대한 선제적 대응을 제공하고, 장비에서 탐지된 탐지된 위협 바카라 꽁머니에 대한 편리한 분석 서비스를 통해 고객사이트에서 발생하는 위협에 빠르게 대응할 수 있도록 지원하고 있다. ㈜시큐아이 석경협 대표이사는 “기능과 편의성이 향상된 SECUI MFI V4.0의 CC 인증 획득을 계기로 적극적인 영업활동을 펼쳐 시장 점유율을 확대 할 것이며, 지속적으로 위협에 대한 분석 및 대응 서비스를 강화하여 글로벌 수준의 사이버 위협 대응 경쟁력을 확보 할 것이다” 라고 밝혔다.

전문가 컬럼|2016.07.15

2016년 상반기 사이버 위협

네트워크/

대외행사|2016.07.14

16년 국방바카라 꽁머니보호·암호 컨퍼런스 참가

시큐아이는지난 7일 국방컨펜션에서 진행한 '16년 국방바카라 꽁머니보호·암호 컨퍼런스에 참가하였습니다. 국방바카라 꽁머니보호·암호 컨퍼런스는 국내 국방 IT분야의 최대 세미나로서 매년 900명 이상의 국방부, 육/해/공군 보안 담당자들이 방문하고 있는 행사입니다. 이번 행사에서는 시큐아이 신제품인 차세대 방화벽 SECUI MF2 AE와 침입방지시스템 SECUI MFI v4.0, Anti-DDoS전용 제품인SECUI MFD의 전시 및 기술 설명을 하였습니다. 국방 바카라 꽁머니보안 정책관 및 담당자 400여명 이상이 당사 부스를 방문하여 관계자들의 높은 관심을 보였습니다. -행사명 : '16년 국방바카라 꽁머니보호 · 암호 컨퍼런스 -일시 : 2016년 7월 7일 -장소 : 국방컨벤션

보도자료|2016.06.17

시큐바카라 꽁머니, 공공 분야 대상 고객 조달 로드쇼 참가

바카라 꽁머니보호 전문기업 ㈜시큐아이(대표 석경협)는 16일부터 조달 총판사인 아이티윈이 주관하는 공공 분야 대상 전국 5개 도시 조달 로드쇼에 참가한다고 밝혔다. 시큐아이는 이번 조달 로드쇼를 시작으로 채널 비즈니스 확대를 위한 적극적인 마케팅 활동에 나설 계획이다. 이번 로드쇼에서는 애플리케이션 인지, 암호화 트래픽 검사 기능, 시큐아이 침해대응센터와의 연동을 통한 편리한 분석 서비스를 제공하는 차세대 침입방지 시스템 SECUI MFI V4.0 제품을 소개하여 IPS 시장 공략 확대에 나설 예정이다. 시큐아이 솔루션사업부장 엄주용 상무는 "시큐아이는 앞으로도 영업 활성화를 위해 주요 파트너사와의 협업 마케팅으로 지속적인 영업지원을 펼쳐나갈 것” 이라고 밝혔다.

전문가 컬럼|2016.05.19

스마트 가전과 바카라 꽁머니보호

취약점분석

대외행사|2016.04.12

제21회 Healthcare Kea Fum Conference 참가

시큐바카라 꽁머니는 4월 5일과 7일에 걸쳐 각각 광주와 서울에서 제21회 Healthcare Korea Forum Conference"에 참가하였습니다. 헬스케어코리아포럼은 지난 2006년부터 연 2회에 걸쳐 국내 최대 규모의 의료 IT 세미나를 개최하고 있습니다. 의료IT기업 연합체인 'Healthcare Korea Forum'의 보안업체 참여가 두드러졌던 이번 행사에서, 시큐바카라 꽁머니 신제품인 차세대 방화벽 SECUI MF2 AE와 침입방지시스템 SECUI MFI v4.0의 제품소개를 하였습니다. 당사는솔루션사업부 유태영 과장의 신제품 SECUI MF2 AE 소개와 사용자 기반의 차세대 방화벽 활용 방법의 주제로세션 발표를하여 참관객들의 이목을 집중시켰습니다. -행사명 : 제21회 Healthcare Korea Forum Conference -일시 : 2016년 4월 5일(화) -광주 / 4월 7일(목) - 서울 -장소 : 김대중 컨벤션센터 2F / 서울 엘타워(그랜드홀 7F)