상세 컨텐츠

본문 제목

SolarWinds, WHD 인스턴스를 노린 공격에 대해 경고해

국내외 보안동향

by 알약4 2022. 3. 17. 14:00

본문

SolarWinds warns of attacks targeting Web Help Desk instances

 

SolarWinds에서 고객에 인터넷에 노출된 WHD(Web Help Desk) 인스턴스를 노린 공격에 대해 경고했습니다. 또한 공개적으로 액세스 가능한 인프라에 해당 인스턴스가 존재할 경우 이를 제거하도록 권고했습니다. 이는 잠재적으로 보안 취약점이 악용되는 것을 막기 위한 조치로 보입니다.

 

WHD는 고객이 티켓팅 및 IT 자산 관리 작업을 자동화할 수 있도록 설계된 기업용 헬프데스크 티켓팅 및 IT 인벤토리 관리 소프트웨어입니다.

 

SolarWinds는 아래와 같이 밝혔습니다.

 

"SolarWinds 고객이 WHD(Web Help Desk) 12.7.5 인스턴스가 외부 공격 시도를 받았다고 제보했습니다. 고객의 EDR(Endpoint Detection and Response) 시스템이 해당 공격을 차단하고 고객에게 문제에 대해 경고했습니다.”

 

"SolarWinds는 이에 대한 조사를 진행 중이며, 고객의 WHD가 외부에 노출되고 있을 경우 WHD를 공개 인프라에서 제거할 것을 권장합니다."

 

또한 인터넷에 노출된 서버에서 WHD 인스턴스를 즉시 제거할 수 없을 경우 EDR 소프트웨어를 설치 후 공격 시도를 모니터링 할 것을 권장했습니다.

 

SolarWinds는 아직까지 해당 공격을 재현할 수 없었지만, 해당 제보를 조사하기 위해 고객과 협력하고 있다고 밝혔습니다.

 

SolarWinds의 대변인은 BleepingComputer 측에 아래와 같이 밝혔습니다.

 

"한 고객으로부터 공격 시도가 실패했다는 제보를 받았습니다."

 

"현재 이 문제를 조사하고 있지만, 예방책으로 다른 고객에게도 해당 잠재적 문제에 대해 경고했습니다. 현재로서는 다른 고객이 영향을 받았을 것으로 추측할 수 있는 증거가 없습니다.”

 

Web Help Desk의 취약점

 

SolarWinds에서 공격에 사용된 툴이나 기술에 대한 세부 정보를 밝히지는 않았지만, 공격자가 패치가 적용되지 않은 WHD 인스턴스에서 악용 가능한 보안 취약점은 아래 최소 4가지가 있습니다.

 

- 리퍼러 스푸핑을 통한 액세스 제한 우회 / 비즈니스 로직 우회 취약점  (CVE-2021-32076): WHD 12.7.6에서 수정

- HTTP PUT 및 DELETE 메서드 활성화 취약점  (CVE-2021-35243): WHD 12.7.7 핫픽스 1에서 수정

- 임의 HSQL 쿼리 실행을 허용하는 하드코딩된 크리덴셜 (CVE-2021-35232): WHD 12.7.7 핫픽스 1에서 수정

- 민감한 데이터 공개 취약점 (CVE-2021-35251): WHD 12.7.8에서 수정

 

CVE-2021-35251 권고에 자세히 설명되어 있듯, 공격자는 패치되지 않은 WHD 인스턴스를 악용해 Web Help Desk 설치와 관련된 자세한 환경 정보에 접근할 수 있어 다른 세 가지 보안 취약점을 더욱 쉽게 악용 가능합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/solarwinds-warns-of-attacks-targeting-web-help-desk-instances/

관련글 더보기

댓글 영역