공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고
Contents
취약 소프트웨어 및 개요
VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
VestCert 2.3.6 ~ 2.5.29 버전
취약점 악용 로그(Lazarus)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다.
해당 악성코드(winsync.dll)는 과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다.
또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며, 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다.
해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트
[1] 프로세스 …
VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
VestCert 2.3.6 ~ 2.5.29 버전
취약점 악용 로그(Lazarus)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다.
해당 악성코드(winsync.dll)는 과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다.
또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며, 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다.
해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트
[1] 프로세스 …
IoC
0a840090b5eac30db985f0c46f46a602