안녕하세요. 휴먼스케이프의 Software Engineer David 입니다.
OWASP(The Open Web Application Security Project)는 비영리 단체로 매년 취약점 Top 10을 발표합니다.
오늘은 2017년 발표한 Top 10(A1 ~ A10) 중 A9 — Using Components With Known Vulnerabilities 와 A10 — Insufficient Logging And Monitoring에 대해 알아보겠습니다.
A9 — Using Components With Known Vulnerabilities
A9는 이미 알려져 있는 취약점에 대해 공격을 시도하는 것 입니다.
라이브러리, 프레임워크 등의 컴포넌트가 알려진 취약점으로 인해 어플리케이션과 같은 권한으로 실행될 수 있습니다. 취약한 컴포넌트의 경우, 심각한 데이터 손실 또는 서버 장악 발생의 위험이 있습니다.
예방
불필요한 기능, 구성요소, 파일 제거
클라이언트 및 서버 측의 구성 요소와 해당 종속성 버전을 지속적으로 관리
소프트웨어 구성 분석 도구를 사용하여 프로세스를 자동화
안전한 링크를 통해 공식적인 출처로부터 구성 요소를 획득
서명된 패키지 사용
최신 버전의 패키지 사용
아래는 PostgreSql 거의 모든 버전이 업데이트(PostgreSQL 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24, and 12 Beta 3 Released!) 된 2019년 8월의 Security Issues 입니다.
postgresql release note에 있는 과거 버전에 대한 보안 이슈들 (출처: https://www.postgresql.org/about/news/1960)
친절하게 FIX 된 취약점 이슈들을 알려줘서 좋은데, 한편으로는 과거 버전의 취약점이 공개적으로 드러났으니 버전업을 하지 않으면 해커들의 표적이 될 수 있겠다는 생각이 들기도 합니다.
CVE-2019–10210 이슈를 살펴보겠습니다. EnterpriseDB Windows 설치 관리자가 PostgreSQL 슈퍼 유저 비밀번호를 보호되지 않은 임시 파일에 쓰고 있다는 보고입니다.
슈퍼 유저 비밀번호만 알아내면 서버를 장악할 수도 있어, 해커들의 타겟이 됩니다. 빠른 버전업이 필요합니다.
뭐든 가능해집니다.
A10 — Insufficient Logging And Monitoring
로깅과 모니터링이 충분히 이루어지지않아 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 공격하게 하고, 데이터를 변조 추출 파괴할 수 있습니다.
예방
중앙 집중적 로그 관리 솔루션에 의해 쉽게 사용될 형식으로 로그가 생성되는 지 확인
의심스러운 활동 시 적시에 탐지되고 대응될 수 있도록, 효과적인 모니터링 및 경고를 설정
부가 가치가 높은 거래의 경우, 추가만 가능한 디비 테이블 또는 변조나 삭제를 방지하기위한 무결성 통제 기능을 갖춘 추적기능을 확실히 사용
의심스럽거나 악의적인 계정을 식별할 수 있는 문맥으로 로깅
혹시 로깅 모니터링에 대해 더 궁금하시면 다음 링크를 참고해주세요.
휴먼스케이프 기술블로그 로깅, 모니터링 관련 내용 보러가기
감사합니다.
Get to know us better! Join our official channels below.
Telegram(EN) : t.me/Humanscape KakaoTalk(KR) : open.kakao.com/o/gqbUQEM Website : humanscape.io Medium : medium.com/humanscape-ico Facebook : www.facebook.com/humanscape Twitter : twitter.com/Humanscape_io Reddit : https://www.reddit.com/r/Humanscape_official Bitcointalk announcement : https://bit.ly/2rVsP4T Email : support@humanscape.io