SolarWinds Web Help Desk 원격 코드 실행 취약점 (CVE-2024-28986, CVE-2024-28987)

2024. 8. 19. 18:38

1. SolarWinds Web Help Desk (WHD) [1]

- 티켓팅 및 IT 자산 관리 작업을 자동화할 수 있도록 설계된 기업용 헬프데스크 티켓팅 및 IT 인벤토리 관리 소프트웨어

- 취약한 WHD 버전에서 발생하는 자바 직렬화 원격 코드 실행 취약점 (CVSS: 9.8)

> WHD는 정부, 의료, 교육 등 다양한 분야에서 광범위하게 사용되고 있어 취약점의 잠재적인 영향은 매우 심각
> CISA는 KEV에 추가 및 연방 기관들에게 24.09.05까지 패치 적용을 지시

영향받는 버전
WHD 12.4 ~ 12.8

- 인증 없이 악용될 수 있다고 최초 보고

> SolarWinds 엔지니어는 실제 테스트 결과 인증을 거친 후에만 취약점을 재현할 수 있다고 발표

※ 보안 연구원에 의해 비공개로 공개되었고, PoC 및 악용시도는 확인되지 않은 것으로 판단됨

- SolarWinds는 긴급 핫픽스를 신속히 배포 [3][4]

> 새로운 JAR 파일 설치 후 구성 파일을 수동으로 수정해야 하는 절차 필요

> 패치 설치 중 발생할 수 있는 문제를 예방하기 위해 기존 파일의 백업을 권장

제품명	영향받는 버전	해결 버전
WHD(Web Help Desk)	12.4 ~ 12.8	12.8.3 Hotfix 1

※ SAML Single Sign-On(SSO)을 사용하는 경우 새로운 Hotfix 출시 예정이므로 적용 제외

- 핫픽스 적용이 불가한 경우 권고
> WHD에 대한 액세스 제한
> WHD의 비정상적인 활동이나 명령 실행 모니터링
> WAF를 사용해 잠재적으로 악의적인 시도 모니터링 및 필터링

- 취약한 WHD 버전에서 발생하는 하드코딩된 자격 증명 취약점 (CVSS: 9.1)
> 해당 취약점은 CVE-2024-28986 이전부터 존재한 취약점으로 보임

- Solarwinds는 두 번째 Hotfix 공개 [7][8]
> 패치를 적용하려면 먼저 시스템이 WHD 12.8.3.1813 또는 12.8.3 HF1 버전으로 업데이트되어 있어야 함
> 패치 설치 중 발생할 수 있는 문제를 예방하기 위해 기존 파일의 백업을 권장

제품명	영향받는 버전	해결 버전
WHD(Web Help Desk)	12.8.3 Hotfix 1 이하 버전	12.8.3 Hotfix 2

CUPS 원격 코드 실행 취약점 (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) (0)	2024.10.08
GeoServer 원격 코드 실행 취약점 (CVE-2024-36401) (2)	2024.09.16
MHTML 원격 코드 실행 취약점 (CVE-2024-38112) (0)	2024.07.20
regreSSHion (CVE-2024-6387) (0)	2024.07.12
Apache ActiveMQ RCE (CVE-2023-46604) (1)	2023.12.26