CISA? ??? ???(KEV) ????? ????? ???? ???? ????. Credit: University of College | shutterstock.com 솔라윈즈 개발진이 지난 8월 진행한 보안 감독으로 인해 회사의 웹 헬프 데스크(WHD) 제품 내 민감한 자격 증명에 대한 원격 액세스 허용 취약점이 여전히 활성 상태인 것으로 드러났다. 미국 사이버 보안 및 인프라 보안국(CISA)의 에 따르면, CVE-2024-28987로 등재된 이 결함은 악의적인 사이버 공격자들이 사용할 수 있는 공격 벡터로 부상했으며, 연방 기업에 심각한 위험을 초래할 우려를 제기한다.연방 보안국은 알려진 익스플로잇 취약점(KEV) 카탈로그에 이 취약점을 추가했지만, 발견된 취약점에 대한 기술적 세부 사항을 추가하는 것을 자제하고 있다. 한편 이 취약점과 관련하여 솔라윈즈에 문의했으나, 17일 기사 게재 시점까지 응답해오지 않았다. 8월에 핫픽스된 취약점 CVE-2024-28987은 솔라윈드 헬프 데스크에 내재된 중요한 보안 결함이다. 위협 행위자 피해자 시스템에 원격으로 접근하도록 허용한다. 회사는 8월에 해당 버그를 발견하자마자 했다.이 소프트웨어 제조업체는 당시 핫픽스 릴리스 노트에서 “솔라윈즈 웹 헬프 데스크 소프트웨어는 하드코딩된 자격 증명 취약점의 영향을 받았다. 이로 인해 인증되지 않은 원격 사용자가 내부 기능에 액세스하고 데이터를 수정할 수 있다”라고 밝혔다. 그러나 솔라윈즈 개발자는 감독 과정에서 웹 헬프 데스크(WHD) 내에 일부 하드코딩된 자격 증명을 실수로 남겨뒀으며, 이는 별다른 백도어를 배포하지 않고도 악의적으로 쉽게 액세스할 수 있는 취약한 인스턴스로 이어졌다. 솔라윈즈의 웹 헬프 데스크(WHD)는 서비스 요청을 추적하고 해결하기 위한 중앙 집중식 플랫폼을 제공하여 헬프 데스크 및 IT 지원 운영을 간소화하는 웹 기반 IT 서비스 관리 솔루션이다. 의료, 정부, 금융 서비스 등의 분야에서 사용된다. 원격 액세스를 허용하는 WHD의 취약점은 이러한 중요한 산업에서 중요한 데이터가 손상될 수 있는 가능성으로 이어진다. 두 번째 헬프데스크 취약점 악용 솔라윈즈 WHD의 결함은 이번이 두번째다. CVE-2024-28987 결함이 수정되기 며칠 전, CVSS 점수 10점 만점에 9.8점을 받은 또 다른 중요한 WHD 버그(CVE-2024-28986)로 인해 공격자가 취약한 인스턴스에서 원격 코드 실행(RCE)을 수행할 수 있었던 것으로 알려졌다. 솔라윈즈는 SAML 싱글 사인온(SSO)이 사용된 몇몇 사례에서 CVE-2024-28986에 대한 핫픽스가 예상대로 작동하지 않는 것을 발견했고, 이후 하드코딩된 자격 증명 취약점을 대상으로 하는 핫픽스인 WHD 12.8.3 핫픽스 2에 해결 방법을 추가했다. 미국에 본사를 둔 이 거대 소프트웨어 기업은 2020년 12월에 잘못된 업데이트로 인해 100개 이상의 고객사가 해킹당하는 악명 높은 공급망 공격을 경험한 이후 몇 년 동안 힘든 시간을 보내고 있다. 공격 기법과 시기에 대한 추가 정보가 부족하기에 핫픽스된 솔라윈즈 WHD 인스턴스가 악용 가능성을 차단하는지 여부는 현재 확인하기 어려운 상태다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????