SolarWinds는 민감한 정보에 액세스하거나 임의 코드를 실행하는 데 악용될 수 있는 Access Rights Manager(ARM) 소프트웨어에 영향을 미치는 일련의 심각한 보안 결함을 해결했습니다.
13개 취약점 중 8개는 심각도에서 Critical로 평가되었으며 CVSS 점수는 10.0점 만점에 9.6점입니다. 나머지 5개 취약점은 심각도에서 High로 평가되었으며, 그 중 4개는 CVSS 점수가 7.6점, 1개는 8.3점입니다.
가장 심각한 결함은 아래와 같습니다.
- CVE-2024-23472 – SolarWinds ARM 디렉토리 트래버설 임의 파일 삭제 및 정보 공개 취약점
- CVE-2024-28074 – SolarWinds ARM 내부 역직렬화 원격 코드 실행 취약점
- CVE-2024-23469 – Solarwinds ARM, 위험한 방법 원격 코드 실행 취약점 노출
- CVE-2024-23475 – Solarwinds ARM Traversal 및 정보 공개 취약점
- CVE-2024-23467 – Solarwinds ARM Traversal 원격 코드 실행 취약점
- CVE-2024-23466 – Solarwinds ARM 디렉토리 트래버설 원격 코드 실행 취약점
- CVE-2024-23470 – Solarwinds ARM UserScriptHumster가 위험한 방법 원격 명령 실행 취약점을 노출
- CVE-2024-23471 – Solarwinds ARM CreateFile 디렉토리 트래버설 원격 코드 실행 취약점
앞서 언급된 취약점을 성공적으로 악용하면 공격자는 파일을 읽고 삭제하고 상승된 권한으로 코드를 실행할 수 있습니다.
이러한 단점은 Trend Micro Zero Day Initiative(ZDI)의 일환으로 책임 있는 공개를 거쳐 2024년 7월 17일에 출시된 버전 2024.3에서 해결되었습니다.
미국 사이버 보안 및 인프라 보안국(CISA)이 SolarWinds Serv-U Path(CVE-2024-28995, CVSS 점수: 8.6)에 심각도가 높은 경로 탐색 결함을 추가한 데 이어, 실제 공격이 보고되었습니다.
네트워크 보안 회사는 2020년에 대규모 공급망 공격을 받았습니다. 그 이유는 러시아 APT29 해커가 오리온(Orion) 네트워크 관리 플랫폼과 관련된 업데이트 메커니즘을 손상시켜 고위급 사이버 스파이 캠페인의 일환으로 다운스트림 고객에게 악성 코드를 배포했기 때문입니다.
이러한 침해로 인해 미국 증권거래위원회(SEC)는 작년 10월 SolarWinds와 최고정보보안책임자(CISO)를 상대로 소송을 제기했습니다. 이는 해당 회사가 사이버보안 위험에 관한 충분한 중요 정보를 투자자들에게 공개하지 않았다는 주장입니다.
그러나 소송과 관련된 많은 청구는 7월 18일 뉴욕 남부 지방 법원(SDNY)에서 기각되었습니다. “이것들은 회사의 사이버 보안 해킹 보고에 대한 소송 가능한 결함을 그럴듯하게 주장하지 않으며” “후견지명과 추측에 부당하게 의존한다”고 명시했습니다.
