CISA는 KEV(알려진 악용 취약점) 카탈로그에 세 가지 결함을 추가했습니다. 그 중 하나는 공급업체가 2024년 8월 말에 수정한 SolarWinds WHD(웹 헬프 데스크)의 심각한 하드코딩된 자격 증명 결함입니다.
SolarWinds Web Help Desk는 정부 기관, 대기업, 의료 기관을 포함하여 전 세계 300,000명의 고객이 사용하는 IT 헬프 데스크 제품군입니다.
SolarWinds 결함은 CVE-2024-28987로 추적되며 하드코딩된 자격 증명, 사용자 이름 “helpdeskIntegrationUser” 및 비밀번호 “dev-C4F8025E7″로 인해 발생합니다. 이러한 자격 증명을 사용하면 인증되지 않은 원격 공격자가 잠재적으로 WHD 엔드포인트에 액세스하고 제한 없이 데이터에 액세스하거나 수정할 수 있습니다.
SolarWinds는 Horizon3.ai 연구원 Zach Hanley로부터 보고를 받은 지 4일 만에 핫픽스를 발행했습니다. 그는 시스템 관리자에게 WHD 12.8.3 핫픽스 2 이상으로 이동할 것을 촉구했습니다.
CISA는 이제 Kev에 결함을 추가하여 이 결함이 실제 공격에 활용되고 있음을 나타냅니다.
미국 정부 기관은 악성 활동에 대해 많은 세부 정보를 공유하지 않았으며 랜섬웨어 악용 상태를 알 수 없음으로 설정했습니다.
미국의 연방 기관 및 정부 기관에서는 2024년 11월 5일까지 안전한 버전으로 업데이트하거나 제품 사용을 중단할 예정입니다.
CVE-2024-28987의 활성 악용 상태를 고려하여 시스템 관리자는 설정된 기한보다 빨리 WDH 엔드포인트를 보호하기 위해 적절한 조치를 취하는 것이 좋습니다.
나머지 두 가지 결함은 Windows 및 Mozilla Firefox와 관련이 있으며, 두 취약점 모두 이미 공격에 악용된 것으로 알려져 있습니다. CISA는 또한 연방 기관에 11월 5일까지 이러한 결함을 패치할 것을 요구합니다.
Windows 결함은 CVE-2024-30088로 추적되는 커널 TOCTOU 경쟁 조건으로, Trend Micro에서 적극적으로 악용하는 것으로 밝혀졌습니다. 사이버 보안 회사는 이 결함을 이용하여 손상된 장치에서 권한을 SYSTEM 수준으로 끌어올린 OilRig(APT34)가 악의적인 활동을 했다고 밝혔습니다.
Microsoft는 2024년 6월 화요일 패치 팩에서 이 취약점을 해결했지만, 언제 활성 공격이 시작되었는지는 확실하지 않습니다.
Mozilla Firefox CVE-2024-9680 결함은 ESET 연구원 Damien Schaeffer가 2024년 10월 8일에 발견했으며 25시간 후에 Mozilla에 의해 수정되었습니다.
Mozilla는 ESET이 Firefox의 CSS 애니메이션 타임라인 렌더링을 통해 사용자 장치에서 원격으로 코드를 실행할 수 있는 공격 체인을 제공했다고 밝혔습니다.
ESET은 자신들이 관찰한 공격을 계속 분석하고 있지만 대변인은 BleepingComputer에 해당 악성 활동이 러시아에서 시작된 것으로 보이며 간첩 작전에 사용되었을 가능성이 있다고 말했습니다.