솔라윈즈 개발진이 지난 8월 진행한 보안 감독으로 인해 회사의 웹 헬프 데스크(WHD) 제품 내 민감한 자격 증명에 대한 원격 액세스 허용 취약점이 여전히 활성 상태인 것으로 드러났다.
미국 사이버 보안 및 인프라 보안국(CISA)의 업데이트에 따르면, CVE-2024-28987로 등재된 이 결함은 악의적인 사이버 공격자들이 사용할 수 있는 공격 벡터로 부상했으며, 연방 기업에 심각한 위험을 초래할 우려를 제기한다.
연방 보안국은 알려진 익스플로잇 취약점(KEV) 카탈로그에 이 취약점을 추가했지만, 발견된 취약점에 대한 기술적 세부 사항을 추가하는 것을 자제하고 있다.
한편 이 취약점과 관련하여 솔라윈즈에 문의했으나, 17일 기사 게재 시점까지 응답해오지 않았다.
8월에 핫픽스된 취약점
CVE-2024-28987은 솔라윈드 헬프 데스크에 내재된 중요한 보안 결함이다. 위협 행위자 피해자 시스템에 원격으로 접근하도록 허용한다. 회사는 8월에 해당 버그를 발견하자마자 핫픽스를 배포했다.
이 소프트웨어 제조업체는 당시 핫픽스 릴리스 노트에서 “솔라윈즈 웹 헬프 데스크 소프트웨어는 하드코딩된 자격 증명 취약점의 영향을 받았다. 이로 인해 인증되지 않은 원격 사용자가 내부 기능에 액세스하고 데이터를 수정할 수 있다”라고 밝혔다.
그러나 솔라윈즈 개발자는 감독 과정에서 웹 헬프 데스크(WHD) 내에 일부 하드코딩된 자격 증명을 실수로 남겨뒀으며, 이는 별다른 백도어를 배포하지 않고도 악의적으로 쉽게 액세스할 수 있는 취약한 인스턴스로 이어졌다.
솔라윈즈의 웹 헬프 데스크(WHD)는 서비스 요청을 추적하고 해결하기 위한 중앙 집중식 플랫폼을 제공하여 헬프 데스크 및 IT 지원 운영을 간소화하는 웹 기반 IT 서비스 관리 솔루션이다. 의료, 정부, 금융 서비스 등의 분야에서 사용된다. 원격 액세스를 허용하는 WHD의 취약점은 이러한 중요한 산업에서 중요한 데이터가 손상될 수 있는 가능성으로 이어진다.
두 번째 헬프데스크 취약점 악용
솔라윈즈 WHD의 결함은 이번이 두번째다. CVE-2024-28987 결함이 수정되기 며칠 전, CVSS 점수 10점 만점에 9.8점을 받은 또 다른 중요한 WHD 버그(CVE-2024-28986)로 인해 공격자가 취약한 인스턴스에서 원격 코드 실행(RCE)을 수행할 수 있었던 것으로 알려졌다.
솔라윈즈는 SAML 싱글 사인온(SSO)이 사용된 몇몇 사례에서 CVE-2024-28986에 대한 핫픽스가 예상대로 작동하지 않는 것을 발견했고, 이후 하드코딩된 자격 증명 취약점을 대상으로 하는 핫픽스인 WHD 12.8.3 핫픽스 2에 해결 방법을 추가했다.
미국에 본사를 둔 이 거대 소프트웨어 기업은 2020년 12월에 잘못된 업데이트로 인해 100개 이상의 고객사가 해킹당하는 악명 높은 공급망 공격을 경험한 이후 몇 년 동안 힘든 시간을 보내고 있다.
공격 기법과 시기에 대한 추가 정보가 부족하기에 핫픽스된 솔라윈즈 WHD 인스턴스가 악용 가능성을 차단하는지 여부는 현재 확인하기 어려운 상태다.
[email protected]
Read More from This Article: 8월 수정된 솔라윈즈 WHD 취약점에 여전히 악용 여지 있다
Source: News