솔라윈즈 플랫폼에서 발견된 초고위험도 취약점, 시스템 장악 가능케 해

솔라윈즈의 접근 제어 솔루션에서 다섯 개의 고위험군 취약점과 세 개의 초고위험군 취약점이 발굴됐다. 최대한 빠른 패치 적용이 필요하다.

[보안뉴스 문가용 기자] 솔라윈즈 접근권한관리자도구(SolarWinds Access Rights Manger Tool, ARM)에서 새로운 취약점 8개가 발견됐다. 이 중 세 개는 초고위험도로 분류됐다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자들은 가장 높은 권한을 가져갈 수 있게 된다고 한다.

[이미지 = gettyimagesbank]

솔라윈즈는 광범위한 IT 기능을 담당하는 관리 플랫폼으로서, 기업 네트워크 상에 구축되어 민감한 정보들을 취급한다. 데이터와 파일, 시스템에 대한 접근 권한을 관리하고 설정하는 데 사용된다. 약 3년 전, ‘솔라윈즈 사태’ 덕분에 주목을 받은 바 있기도 하다. 솔라윈즈 사태는 소프트웨어 공급망을 통해 사용자 기업들을 침해한 사건으로, 이제 공급망 공격의 대명사처럼 여겨지는 용어다.

이 때문에 솔라윈즈에서 무슨 일이 발생했다고 하면 그 일이 무엇이든 커다란 주목을 받을 수밖에 없다. 트렌드마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)가 공개한 이번 8개 취약점도 그러했다. ZDI의 수장인 더스틴 차일즈(Dustin Childs)는 “솔라윈즈 플랫폼의 특성 상 취약점 소식에 모든 보안 담당자들이 민감하게 반응해야 한다”고 설명한다.

그 중에서도 “원격 임의 코드 실행 취약점을 눈여겨볼 필요가 있다”고 차일즈는 강조했다. “공격자가 피해자의 시스템에서 가장 높은 권한을 가지고 임의의 코드를 실행할 수 있게 해 주는 취약점이 있습니다. 이를 통해 공격자는 사실상 해당 장비를 완전히 장악할 수 있게 됩니다. 익스플로잇 난이도에 대해서는 아직 분석이 완료되지 않았습니다만 익스플로잇에 성공할 경우 미치는 피해는 꽤나 큽니다.”

솔라윈즈 ARM에서의 심각한 문제
로컬의 자원을 공격자가 마음대로 사용하고, 로컬 권한을 상승시킬 수 있게 해 주는 취약점인 CVE-2023-35181과 CVE-2023-35183은 전부 7.8점으로 고위험군에 속한다. 그 외에 CVE-2023-35180과 CVE-2023-35184, CVE-2023-35186은 전부 8.8점을 받았으며, 원격 코드 실행을 통해 솔라윈즈 서비스를 남용할 수 있도록 해 준다. 이 세 취약점은 8.8점을 받았다.

하지만 가장 심각한 것으로 분석된 취약점은 CVE-2023-35182와 CVE-2023-35185, CVE-2023-35187이다. 전부 9.8점을 받았다. 초고위험도 취약점인 것이다. 셋 다 원격 코드 실행 공격이 가능하다. 하지만 솔라윈즈 스스로는 해당 취약점이 그렇게까지 심각한 게 아니라며 8.8점을 부여하고 있다.

이 초고위험도 취약점은 createGlobalServerChannelInternal과 OpenFile, OpenClientUpdateFile이라는 메소드에 있는 것으로 분석됐으며, 공격자들은 이를 통해 임의의 코드를 시스템 레벨에서 실행할 수 있게 된다. 이 셋은 익스플로잇 전에 인증 단계를 통과하지 않아도 된다. 따라서 익스플로잇 난이도가 나머지 5개 취약점보다 낮다.

솔라윈즈는 이러한 취약점들이 전부 해결돤 ARM 2023.2.1 버전을 지난 주 수요일에 공개했다. 솔라윈즈를 사용하는 조직이라면 빠르게 이 문제를 해결하는 게 안전하다.

3줄 요약
1. 솔라윈즈 사태의 장본인 솔라윈즈의 도구 ARM에서 취약점 8개 발굴.
2. 이 중 3개는 초고위험도로 분류되며, 피해자의 장비를 공격자가 완전히 장악할 수 있게 해 줌.
3. 솔라윈즈 사용자라면 최신 버전으로 업데이트하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)