솔라윈즈, 치명적 보안취약점 긴급 패치 배포

사용 기관 무단 접근 가능성 차단위해 신속히 패치해야

솔라윈즈(SolarWinds)가 최근 자사의 웹 헬프 데스크(Web Help Desk, WHD) 소프트웨어에서 발견된 심각한 보안 취약점을 해결하기 위해 긴급 패치를 배포했다. 이번 취약점(CVE-2024-28987)은 CVSS 점수 9.1을 기록하며, 원격의 인증되지 않은 공격자가 소프트웨어에 하드코딩된 자격 증명을 악용해 시스템 내부 기능에 접근하고 데이터를 수정할 수 있는 위험성을 내포하고 있다.

이 취약점은 Horizon3.ai의 연구원 잭 핸리(Zach Hanley)가 발견해 보고했다. 특히 이번 취약점은 얼마 전 발견된 또 다른 치명적 취약점(CVE-2024-28986)과 연결되어 있어, 이로 인해 공격자가 임의의 코드를 실행할 수 있는 가능성이 있다. 이 이전의 취약점은 이미 실제 공격에 사용되고 있어 더욱 큰 우려를 낳고 있다.

솔라윈즈는 이번 취약점을 해결하기 위해 12.8.3 Hotfix 2 버전을 배포했다. 그러나 이 패치를 적용하려면 먼저 시스템이 웹 헬프 데스크 12.8.3.1813 또는 12.8.3 HF1 버전으로 업데이트되어 있어야 한다. 솔라윈즈는 사용자들에게 이 업데이트를 신속히 적용할 것을 강력히 권고했다.

화사측은 패치를 적용하기 위한 상세한 지침을 제공하며, 설치 과정에서 문제가 발생할 수 있으므로 원본 파일을 백업할 것을 당부했다. 현재까지 이 취약점이 실제로 악용되었는지 여부는 밝혀지지 않았지만, 피해를 예방하기 위해 즉각적인 패치 적용이 필요하다.

미국 사이버 보안 및 인프라 보안국(CISA)은 이와 같은 상황을 주시하고 있으며, 특히 이전 취약점의 적극적인 악용 사례를 감안해 이번 문제를 심각하게 받아들이고 있다. CISA는 연방 기관들이 이번 패치를 신속히 적용할 것을 강력히 촉구하고 있다.

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급