SolarWinds는 Access Rights Manager(ARM) 소프트웨어에서 8개의 심각한 취약점을 수정했는데, 이 중 6개는 공격자가 취약한 장치에서 원격 코드 실행(RCE) 권한을 얻을 수 있도록 허용했습니다.
Access Rights Manager는 관리자가 조직의 IT 인프라 전반에서 액세스 권한을 관리하고 감사하여 위협 영향을 최소화하는 데 도움이 되는 기업 환경에서 중요한 도구입니다.
RCE 취약점(CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 및 CVE-2024-23470)은 모두 심각도 점수 10점 만점에 9.6점이며, 권한이 없는 공격자가 악용되는 결함에 따라 SYSTEM 권한이 있거나 없이 코드나 명령을 실행하여 패치되지 않은 시스템에서 작업을 수행할 수 있습니다.
이 회사는 또한 제한된 디렉토리 외부의 파일이나 폴더에 액세스한 후 인증되지 않은 사용자가 임의로 파일을 삭제하고 민감한 정보를 얻을 수 있도록 허용하는 세 가지 중요한 디렉토리 트래버설 취약점(CVE-2024-23475 및 CVE-2024-23472)을 패치했습니다.
또한 인증되지 않은 악의적인 행위자가 Active Directory 환경 내에서 도메인 관리자 액세스 권한을 얻을 수 있도록 하는 심각한 인증 우회 취약점(CVE-2024-23465)도 해결했습니다.
SolarWinds는 수요일에 버그 및 보안 수정 사항과 함께 출시된 Access Rights Manager 2024.3의 결함(모두 Trend Micro의 Zero Day Initiative를 통해 보고됨)을 패치했습니다.
해당 회사는 아직 이러한 결함에 대한 개념 증명 익스플로잇이 실제로 사용 가능한지, 또는 그 중 일부가 공격에 악용되었는지 여부를 밝히지 않았습니다.
CVE-ID | 취약점 제목 |
---|---|
CVE-2024-23469 | SolarWinds ARM 노출된 위험한 방법 원격 코드 실행 |
CVE-2024-23466 | SolarWinds ARM 디렉토리 트래버설 원격 코드 실행 취약점 |
CVE-2024-23467 | SolarWinds ARM 디렉토리 트래버설 원격 코드 실행 취약점 |
CVE-2024-28074 | SolarWinds ARM 내부 역직렬화 원격 코드 실행 취약점 |
CVE-2024-23471 | SolarWinds ARM CreateFile 디렉토리 트래버설 원격 코드 실행 취약점 |
CVE-2024-23470 | SolarWinds ARM UserScriptHumster가 위험한 방법 RCE 취약점을 노출 |
CVE-2024-23475 | SolarWinds ARM 디렉토리 트래버설 및 정보 공개 취약성 |
CVE-2024-23472 | SolarWinds ARM 디렉토리 트래버설 임의 파일 삭제 및 정보 공개 |
CVE-2024-23465 | SolarWinds ARM ChangeHumster가 위험한 방법 인증 우회를 노출 |
2월에 이 회사는 Access Rights Manager(ARM) 솔루션의 다른 RCE 취약점 5개를 패치했는데, 그 중 3개는 인증되지 않은 악용을 허용하기 때문에 ‘중대한’으로 평가되었습니다.
4년 전 SolarWinds의 내부 시스템은 러시아 APT29 해킹 그룹에 의해 침해되었습니다. 이 위협 그룹은 2020년 3월에서 2020년 6월 사이에 고객이 다운로드한 Orion IT 관리 플랫폼 빌드에 악성 코드를 주입했습니다.
당시 전 세계적으로 30만 명이 넘는 고객을 보유한 SolarWinds는 Apple, Google, Amazon과 같은 유명 기술 기업과 미국 군대, 국방부, 국무부, NASA, NSA, 우편국, NOAA, 법무부, 미국 대통령실과 같은 정부 기관을 포함하여 Fortune 500 기업의 96%에 서비스를 제공했습니다.
그러나 러시아 국가 해커들이 트로이 목마화된 업데이트를 이용해 수천 대의 시스템에 Sunburst 백도어를 배포했음에도 불구하고, 그들이 추가로 악용하기 위해 표적으로 삼은 Solarwinds 고객은 극히 소수에 불과했습니다.
공급망 공격이 공개된 후, 여러 미국 정부 기관이 캠페인에서 네트워크가 침해되었음을 확인했습니다. 여기에는 국무부, 국토안보부, 재무부, 에너지부, 국가통신정보청(NTIA), 국립보건원, 국가핵안보청이 포함되었습니다.
2021년 4월, 미국 정부는 러시아 외국정보국(SVR)이 2020년 SolarWinds 공격을 조직했다고 공식적으로 고발했으며, 미국 증권거래위원회(SEC)는 2023년 10월 SolarWinds가 해킹 전에 투자자들에게 사이버 보안 방어 문제를 통보하지 않았다는 이유로 SolarWinds를 고발했습니다.