30,000개 이상의 웹사이트에서 사용되는 WordPress용 ‘PHP Everywhere’ 플러그인에서 세 가지 원격 코드 실행(RCE) 취약점이 발견되었으며 모두 CVSS 9.9점을 받았습니다. 해당 플러그인은 WordPress 관리자가 페이지, 게시물, 사이드바 또는 Gutenberg 블록에 PHP 코드를 삽입하고 동적 콘텐츠를 표시하는 데 사용할 수 있는 플러그인이에요.

두 가지 취약점(CVE-2022-24664, CVE-2022-24665)은 기여자 권한이 필요하지만 한 가지(CVE-2022-24663)는 가장 낮은 권한을 갖는 구독자가 임의의 PHP 코드를 실행할 수 있도록 하는 원격 코드 실행 취약점이므로 더욱 주의가 필요합니다. 모든 ‘PHP Everywhere’ 사용자는 현재 사용 가능한 최신 버전인 3.0.0으로 업데이트했는지 확인하는 것이 좋겠네요. 😣 (WordPress는 관리자 > 편집자 > 글쓴이 > 기여자 > 구독자 순으로 많은 권한을 가집니다.)

미국 법무부는 2016년 가상화폐 거래소 Bitfinex 해킹 과정에서 45억 달러 상당의 암호화폐를 빼돌린 한 부부를 체포했다고 발표했습니다. Ilya Lichtenstein(34세)과 그의 아내 Heather Morgan(31세)은 최대 징역 20년형을 선고할 수 있는 자금세탁 공모 혐의와 최고 징역 5년형을 선고할 수 있는 미국 사기 공모 혐의로 기소되었어요.

가짜 신원을 사용하여 온라인 계정을 설정하고, 훔친 자금을 다양한 가상화폐 거래소 및 다크웹 계좌에 예치한 후 자금을 인출하고, 은행 활동을 합법화하기 위해 계정을 오용하는 등 여러 가지 방법을 사용하여 자금 추적을 어렵게 하였습니다. 하지만 그들의 온라인 계정에 대한 법원의 승인된 수색 영장에 따라 법 집행관은 궁극적으로 자금을 받는 데 사용되는 디지털 지갑에 액세스하는 데 필요한 개인 키가 포함된 클라우드 스토리지 계정에 저장된 파일에 액세스할 수 있게 되었습니다.

이번 사건으로 미국 법무부는 암호화폐가 자금 세탁의 안전한 피난처가 아니라는 것과 범죄 목적으로 가상화폐를 사용하는 사람들에 대해 단호한 입장을 취할 것임을 밝혔습니다. 🏦

지난 2021년 6월 공개된 polkit 의 로컬 권한 상승 취약점(CVE-2021-3560)에 이어 새로운 로컬 권한 상승 취약점 CVE-2021-40729의 세부 정보가 공개되었습니다.

polkit의 pkexec main() 함수는 command-line argument를 처리하는데, 절대 경로가 아닌 경우 PATH 환경변수 디렉터리에서 실행할 프로그램을 검색합니다.