The Nirsa Way

아파치 HTTP 취약점 CVE-2021-44224, CVE-2021-44790 공개 (Apache HTTP CVE-2021-44224, CVE-2021-44790 Vulnerability) Apache 소프트웨어 재단에서 아래와 같이 Apache HTTP에 대한 취약점을 공개 했습니다. Apache HTTP를 최신 버전(2.4.52)로 업데이트 하도록 권고 하고 있습니다. Apache 최신 버전(2.4.52) 설치 : https://httpd.apache.org/download.cgi CVE 번호 : CVE-2021-44224 CVSSv3(NVD 기준) 점수 : 8.2 최약점 공개 : 2021-12-20 취약점 버전 : 2.4.7 ~ 2.4.51 취약점 내용 : 정방향 프록시 구성에서 가능한 NULL 역..

Sudo 취약점 CVE-2021-3156 공개 (Baron Samedit) 취약점 이름 : Baron Samedit CVE 번호 : CVE-2021-3156 CVSSv3 점수 : 7.8 최약점 공개 : 2021-01-27 취약점 버전 : 1.8.2~1.8.31p2 / 1.9.0~1.9.5p1 취약점 내용 : Heap-based Buffer Overflow로 인한 권한 상승 (루트 권한 획득) 취약점 패치 방법 : sudo 1.9.5p2 버전으로 업데이트 취약점 시연 영상 : https://vimeo.com/504872555 해당 취약점은 2011년 7월에 도입 되어 2021년 1월에 취약점이 공개 되었습니다. 취약점은 계속 있었으나 약 10년만에 발견되었던 만큼 취약점이 해당하는 버전이 많아 대부분의 시..

APache + ModSeucirty OWASP 룰셋 적용 (IDS, ModSecurity SQL Injection, modsecurity detection mode) 룰셋 적용 후 차단하는 방식(IPS)가 아니라, 탐지된 내용을 로깅만 하는 방식(IDS)으로 구성 합니다. 룰셋 적용 자체에 큰 어려움은 없기에 하나하나 자세히 설명하기보다는 코드블럭에 주석처리로 간단히 설명만 해두었습니다. 적용 이후에 공격을 시도하면 /var/log/httpd/modsec.log 파일에서 공격이 탐지되는것을 확인할 수 있습니다. ## OWASP 룰셋 설치 cd /etc/http git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git mkdir /etc/htt..

아파치 modsecurity2 소스 설치 (apache modsecurity2 install) 아래와 같이 의존성 및 컴파일을 위한 패키지를 설치 해줍니다. yum -y install gcc gcc-c++ httpd-devel pcre-devel wget https://ftp.pcre.org/pub/pcre/pcre-8.43.tar.gz tar xvfz pcre-8.00.tar.gz cd pcre-8.43 ./configure --prefix=/usr/local/pcre make make install 이후 아래와 같이 modsecurity2를 직접 설치 합니다. 만약, libxml 에러가 발생할 경우 아래 링크를 참고하여 해결해주신 후 진행 하시면 됩니다. modsecurity libxml 에러 발생 ..

아파치 modsecurity2 설치 시 에러 "checking for libxml2 config script... no configure: *** xml library not found. configure: error: libxml2 is required" 해당 에러는 modeseucirty2 소스 설치 시 libxml 2.6.29 이하 버전일 경우 발생할 수 있습니다. 아래와 같이 상위 버전을 설치받아 해결하실 수 있습니다. cd /usr/local/src wget ftp://xmlsoft.org/libxml2/libxml2-2.7.7.tar.gz tar xvzf libxml2-2.7.7.tar.gz cd libxml2-2.7.7 ./configure --prefix=/usr/local/xml make..

Apache modsecurity2 설치 시 에러 "configure: error: couldn't find APXS" modseucirty 소스 설치 시 "configure: error: couldn't find APXS" 에러가 발생할 경우 아래 패키지를 설치하시면 해결할 수 있습니다. yum -y install httpd-devel

Apache POST Body data Logging (mod_security2) yum으로 modsecurity2 설치 후 mod_security2.so 파일이 있는지 확인 합니다. (yum 설치 기준 경로 /etc/httpd/modules) /etc/httpd/conf/httpd.conf 파일로 진입하여 Load_Module mod_security2 modules/mod_security2.so 를 입력하여 모드시큐리티 모듈을 읽어 드립니다. /etc/httpd/conf.d/ 디렉토리로 이동하여 mod_security.conf 파일을 생성 후 아래와 같이 코드를 삽입합니다. SecRuleEngine DetectionOnly SecAuditEngine On SecAuditLog /var/log/httpd..

스노트 "ERROR: Cannot decode data link type 239" 에러 발생 해당 에러는 해외 포럼을 참고해보면 ./configure 시 옵션을 사용하여 해결하는 방법으로 되어있기도 하지만, 저의 경우 ./configure에서 변경하지 않고 -i 옵션을 사용하여 인터페이스를 설정해주니 에러가 해결 되었습니다. snort -v -c /etc/snort/snort.conf -i ens36

스노트 "WARNING: No Preprocessors configured for policy 0" 경고 발생 해당 에러는 snort 프로세서가 활성화되지 않아 발생 합니다. snort 실행 시 아래와 같이 -v -c 옵션을 주는것으로 간단히 해결할 수 있습니다. 옵션을 준 후 snort.conf 파일의 위치 경로에 따라서 작성해주시고 다시 실행시켜보면 "WARNING: No Preprocessors configured for policy 0" 경고가 사라지는것을 확인할 수 있습니다. snort -v -c /etc/snort/snort.conf

Snort 설치 및 기본 설정 # 1. 의존성 관련 프로그램 설치 yum -y install http://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/d/daq-2.0.6-1.el7.x86_64.rpm yum -y install gcc gcc-c++ flex bison zlib libpcap pcre libdnet tcpdump yum -y install ftp://ftp.pbone.net/mirror/archive.fedoraproject.org/epel/7/x86_64/Packages/l/libnghttp2-1.31.1-1.el7.x86_64.rpm mkdir /snort cd /snort wget http://ftp.psu.ac.th/pu..