분류 전체보기 1954

OpenVPN Easy-RSA의 취약점으로 인한 CA 개인 키 브루트포스 공격 가능성

OpenVPN Easy-rsa Vulnerability Allows Attacker to Bruteforce Private CA key OpenVPN Easy-rsa Vulnerability Allows Attacker to Bruteforce Private CA keyA significant security vulnerability, designated as CVE-2024-13454, has been discovered in the OpenVPN Easy-RSA tool, specifically affecting versions from 3.0.5 to 3.2.0 that utilize OpenSSL 3.gbhackers.com 취약점 개요CVE-2024-13454: OpenVPN의 Easy-RSA ..

윈도우 11의 새로운 관리자 보호 기능 도입

Microsoft Rolls Out New Administrator protection feature Under Windows Security Microsoft Rolls Out New Administrator protection feature Under Windows SecurityMicrosoft has announced the release of Windows 11 Insider Preview Build 27774 to the Canary Channel.gbhackers.com 마이크로소프트, 윈도우 11 인사이더 프리뷰 빌드 27774를 카나리아 채널에 공개이번 빌드에서는 시스템 보안을 강화하기 위한 새로운 기능인 관리자 보호가 도입됨관리자 보호는 Windows 보안 설정의 계정 보호 탭에서 활성..

PNGPlug 로더를 통한 ValleyRAT 악성코드 유포

PNGPlug Loader Delivers ValleyRAT Malware Through Fake Software Installers 공격 개요표적: 홍콩, 대만, 중국 본토 등 중국어권 지역방법: PNGPlug라는 다단계 로더를 사용하여 ValleyRAT 악성코드를 배포시작점: 피싱 페이지를 통해 피해자가 악성 Microsoft Installer (MSI) 패키지를 다운로드하도록 유도감염 과정MSI 실행: 정상 애플리케이션을 설치하여 의심을 피하면서 동시에 암호화된 악성 페이로드를 추출CustomAction 기능 활용: MSI 패키지는 Windows Installer의 CustomAction 기능을 사용하여 악성 코드를 실행악성 DLL 실행: 내장된 악성 DLL이 하드코딩된 비밀번호 'hello2024..

침투 테스트 프로젝트에서 가시성과 통제력의 새로운 기준을 세우는 HackGATE

HackGATE: Setting New Standards for Visibility and Control in Penetration Testing Projects 침투 테스트의 일반적인 문제점가시성과 통제력 부족최근 조사에 따르면, 보안 전문가의 60%가 침투 테스트의 성공 여부를 측정하는 데 어려움을 겪고 있음응답자의 65%는 침투 테스트 공급자가 제공하는 정보에만 의존하고 있음이러한 의존은 테스트 범위, 기간, 사용된 기술 및 공격 벡터 등에 대한 제한된 통찰력으로 이어짐최종 보고서에 대한 의존많은 기업이 외부에 침투 테스트를 의뢰하고 최종 보고서와 공급자에 대한 신뢰에 의존하여 테스트의 성공 여부를 평가함구체적인 증거가 없으면 보안 팀은 프로젝트의 결과를 이해하고 이를 경영진 및 이해관계자에게 전달..

Apache CXF 취약점으로 인한 서비스 거부 공격 위험

Apache CXF Vulnerability Triggers DoS Attack Apache CXF Vulnerability Triggers DoS AttackColm O hEigeartaigh announced a critical vulnerability affecting various versions of Apache CXF, a widely-used framework for building web services.gbhackers.com 취약점 개요Apache CXF에서 CVE-2025-23184로 지정된 서비스 거부(Denial of Service, DoS) 취약점이 발견됨CachedOutputStream 인스턴스가 특정 상황에서 적절히 닫히지 않아 임시 파일이 과도하게 생성될 수 있음이로 인해 ..

SUSE 리눅스 배포판의 'go-git' 라이브러리에서 발견된 치명적인 주입 취약점

Critical SUSE Linux Distro Injection Vulnerability Allow Attackers Exploits “go-git” Library Critical SUSE Linux Distro Injection Vulnerability Allow Attackers Exploits “go-git” LibraryCVE-2025-21613 has been discovered in the go-git library, used for Git version control in pure Go applications.gbhackers.com 취약점 개요CVE-2025-21613: 'go-git' 라이브러리의 5.13.0 버전 이전 모든 버전에서 발견된 인자 주입 취약점공격자는 이를 통해 git-u..

Zendesk 서브도메인 악용에 따른 피싱 위험 증가

Phishing Risks Rise as Zendesk Subdomains Facilitate Attacks Phishing Risks Rise as Zendesk Subdomains Facilitate AttacksThe CloudSEK report revealed Zendesk's platform can be exploited for phishing and investment scamswww.infosecurity-magazine.com Zendesk 플랫폼의 서브도메인 등록 기능 악용 사례공격자가 무료 체험 계정을 통해 신뢰할 수 있는 기업을 사칭하는 서브도메인 생성이를 통해 고객 지원 티켓으로 위장한 피싱 이메일 발송CloudSEK의 분석 결과2023년부터 1,912건의 Zendesk 서브도메인이..

최신 봇넷 위협: Murdoc_Botnet과 MikroTik 라우터 악용 사례

13,000 MikroTik Routers Hijacked by Botnet for Malspam and Cyberattacks Murdoc_Botnet의 등장Mirai 악성코드의 새로운 변종인 Murdoc_Botnet이 발견됨AVTECH IP 카메라와 Huawei HG532 라우터의 알려진 취약점(CVE-2024-7029, CVE-2017-17215)을 악용하여 IoT 장치를 감염시킴감염된 장치는 분산 서비스 거부(DDoS) 공격에 활용됨MikroTik 라우터를 이용한 악성 스팸 캠페인약 13,000대의 MikroTik 라우터가 감염되어 봇넷으로 활용됨SPF(보내는 사람 정책 프레임워크) 레코드의 잘못된 구성을 악용하여 악성 스팸 이메일을 발송함SOCKS 프록시를 활성화하여 악성 트래픽의 출처를 은폐함..

새로운 미라이 변종 '머독 봇넷'의 등장과 보안 권고

New Mirai Malware Variant Targets AVTECH Cameras, Huawei Routers New Mirai Malware Variant Targets AVTECH Cameras, Huawei RoutersMurdoc_Botnet used Mirai malware to exploit IoT vulnerabilities, targeting devices globallywww.infosecurity-magazine.com New Mirai botnet variant Murdoc Botnet targets AVTECH IP cameras and Huawei HG532 routers New Mirai botnet variant Murdoc Botnet targets AVTECH IP c..

스탠퍼드 대학의 '유령 개발자' 연구와 그 한계

"개발자 10%는 유령"이라는 스탠포드 대학 연구가 부정확한 이유 "개발자 10%는 유령"이라는 스탠포드 대학 연구가 부정확한 이유전체 소프트웨어 엔지니어의 거의 10%가 '사실상 아무 일도 하지 않으면서' 30만 달러의 연봉을 받는 '유령'이라는 스탠포드 대학교의 연구가 발표됐다. 논문은 특히 원격으로 근무하는 엔지니어www.itworld.co.kr 연구 개요스탠퍼드 대학 연구진은 소프트웨어 개발자 중 약 10% 가 사실상 업무에 기여하지 않는 '유령 개발자'라고 주장함이들은 Git 리포지토리의 커밋 수를 기반으로 개발자 생산성을 평가함연구의 한계커밋 수를 생산성의 유일한 지표로 사용하는 것은 부정확함고위 개발자일수록 코드 작성보다 시스템 설계, 팀 협업, 문제 해결 등 다양한 역할을 수행함코드의 양이..