꼰머의 보안공부

1. SolarWinds Web Help Desk (WHD) [1]

- 티켓팅 및 IT 자산 관리 작업을 자동화할 수 있도록 설계된 기업용 헬프데스크 티켓팅 및 IT 인벤토리 관리 소프트웨어

2. 취약점

- 취약한 WHD 버전에서 발생하는 자바 직렬화 원격 코드 실행 취약점 (CVSS: 9.8)

> WHD는 정부, 의료, 교육 등 다양한 분야에서 광범위하게 사용되고 있어 취약점의 잠재적인 영향은 매우 심각
> CISA는 KEV에 추가 및 연방 기관들에게 24.09.05까지 패치 적용을 지시

영향받는 버전
WHD 12.4 ~ 12.8

- 인증 없이 악용될 수 있다고 최초 보고

> SolarWinds 엔지니어는 실제 테스트 결과 인증을 거친 후에만 취약점을 재현할 수 있다고 발표

※ 보안 연구원에 의해 비공개로 공개되었고, PoC 및 악용시도는 확인되지 않은 것으로 판단됨

- SolarWinds는 긴급 핫픽스를 신속히 배포 [3][4]

> 새로운 JAR 파일 설치 후 구성 파일을 수동으로 수정해야 하는 절차 필요

> 패치 설치 중 발생할 수 있는 문제를 예방하기 위해 기존 파일의 백업을 권장

※ SAML Single Sign-On(SSO)을 사용하는 경우 새로운 Hotfix 출시 예정이므로 적용 제외

- 핫픽스 적용이 불가한 경우 권고
> WHD에 대한 액세스 제한
> WHD의 비정상적인 활동이나 명령 실행 모니터링
> WAF를 사용해 잠재적으로 악의적인 시도 모니터링 및 필터링

2.1 CVE-2024-28987

- 취약한 WHD 버전에서 발생하는 하드코딩된 자격 증명 취약점 (CVSS: 9.1)
> 해당 취약점은 CVE-2024-28986 이전부터 존재한 취약점으로 보임

- Solarwinds는 두 번째 Hotfix 공개 [7][8]
> 패치를 적용하려면 먼저 시스템이 WHD 12.8.3.1813 또는 12.8.3 HF1 버전으로 업데이트되어 있어야 함
> 패치 설치 중 발생할 수 있는 문제를 예방하기 위해 기존 파일의 백업을 권장

3. 참고

[1] https://www.solarwinds.com/web-help-desk
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-28986
[3] https://support.solarwinds.com/SuccessCenter/s/article/WHD-12-8-3-Hotfix-1
[4] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71527&menuNo=205020
[5] https://www.helpnetsecurity.com/2024/08/15/cve-2024-28986/
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-28987
[7] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71531&menuNo=205020
[8] https://support.solarwinds.com/SuccessCenter/s/article/SolarWinds-Web-Help-Desk-12-8-3-Hotfix-2
[9] https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bug-affecting-all-web-help-desk-versions/
[10] https://feedly.com/cve/CVE-2024-28986
[11] https://www.dailysecu.com/news/articleView.html?idxno=158587
[12] https://www.dailysecu.com/news/articleView.html?idxno=158763