CISA 경고: SolarWinds 주요 취약점 실제 공격 발생 중

미국 사이버보안 및 인프라 보안국(CISA)은 SolarWinds Web Help Desk의 심각한 원격 코드 실행(RCE) 취약점이 실제 공격에 이용되고 있음을 확인하고, Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했습니다. 연방 민간 기관은 Binding Operational Directive(BOD) 22-01에 따라 2024년 9월 5일까지 시스템 패치를 완료해야 합니다.

기술적 세부 사항

이 취약점은 CVE-2024-28986으로 추적되며, SolarWinds Web Help Desk 12.8.3 HF 1 및 이전 버전에 존재하는 인증 우회 결함입니다. 공격자가 이를 악용할 경우, 패치되지 않은 시스템에서 권한 상승을 통해 임의 코드를 실행할 수 있습니다. SolarWinds는 2024년 8월 13일 보안 권고문을 발표하며 모든 고객에게 즉시 핫픽스를 적용할 것을 촉구했습니다.

CISA의 지침은 연방 기관에만 적용되지만, 보안 전문가들은 취약한 SolarWinds Web Help Desk를 사용하는 모든 조직이 이 결함의 심각성(CVSS 점수 미정)을 고려해 패치를 최우선으로 진행해야 한다고 경고합니다.

영향 분석

CVE-2024-28986의 실제 악용은 다음과 같은 심각한 위험을 초래할 수 있습니다:

• 관리자 권한을 통한 무단 시스템 접근
• 도움말 데스크 운영 데이터 유출 또는 조작
• 침해된 네트워크 내 횡적 이동(Lateral Movement)
• 공급망 공격 가능성 (예: 2020년 Sunburst 공격과 같은 SolarWinds의 과거 공격 이력 고려)

권장 조치 사항

1. 즉시 패치 적용: SolarWinds Web Help Desk 12.8.3 HF 2용 핫픽스를 적용하거나 최신 패치 버전으로 업그레이드하세요.
2. 네트워크 세분화: 복구가 완료될 때까지 Web Help Desk 서버를 중요 인프라로부터 격리하세요.
3. 침해 지표(IOC) 모니터링: 비정상적인 인증 시도나 무단 접근 여부를 로그에서 검토하세요.
4. 제3자 위험 평가: SolarWinds 시스템에 접근 권한이 있는 공급업체나 파트너의 잠재적 노출 가능성을 감사하세요.

CISA가 CVE-2024-28986을 KEV 카탈로그에 포함시킨 것은 특히 민감한 데이터나 중요 인프라를 관리하는 조직에서 이 취약점을 신속히 해결해야 함을 강조합니다. 자세한 내용은 SolarWinds의 공식 권고문을 참조하세요.