SolarWinds Access Rights Manag... 노트

SolarWinds Access Rights Manager: 모든 권한 상승 취약점 중 하나

SolarWinds Access Rights Manager 제품에 사전 승인된 원격 코드 실행 및 파일 삭제 취약성 등 여러 가지 취약점이 있는 것으로 파악되었습니다. 한 연구원은 사전 승인된 파일 삭제 취약성을 포함해 도메인에 가입된 Windows 컴퓨터에서 권한을 상승시키는 데 사용될 수 있는 취약성을 18개 발견했습니다. 공급업체는 ARM 2024.3 업데이트를 통해 이러한 취약점을 해결했습니다.연구원은 이 제품이 도메인 계정을 사용하여 작동하는데, 이 계정은 매우 특권이 큰 서비스 계정이거나 도메인 관리자 계정이 될 수 있다는 점을 발견했습니다. 사전 승인된 파일 삭제 취약성을 사용하여 특권이 매우 큰 도메인 계정으로 원격으로 파일을 제거할 수 있습니다.연구원은 파일 삭제 취약성을 이용하여 도메인에 가입된 모든 Windows 컴퓨터에서 권한을 상승시키는 방법을 시연했습니다. File.Delete 메서드에 UNC 경로를 제공하여 해당 취약성을 악용할 수 있는데, 이를 통해 공격자는 관리자로 원격으로 파일을 제거할 수 있습니다.연구원은 또한 이 취약성을 이용하여 SolarWinds ARM을 실행하지 않는 컴퓨터에서 권한을 상승시키는 방법도 시연했습니다. 공격자는 파일 삭제 취약성을 사용하여 자신이 제어하는 컴퓨터에서 파일을 제거한 다음, 이를 통해 SolarWinds ARM AD 계정의 이름을 알아낼 수 있습니다.연구원은 파일 삭제 취약성이 전체 Active Directory 도메인의 보안에 상당한 영향을 미칠 수 있다는 결론을 내렸습니다. 이 취약성은 SolarWinds ARM이 설치되지 않은 컴퓨터를 포함한 모든 Windows 도메인에 가입된 컴퓨터에서 권한을 상승시키는 데 사용될 수 있습니다.연구원은 모든 SolarWinds ARM 사용자에게 취약성을 해결하기 위해 가능한 한 빨리 ARM 2024.3 업데이트를 테스트하고 배포할 것을 권장했습니다. 또한 연구원은 익스플로잇 데모를 제공했으며, 사용자에게 소셜 미디어를 통해 최신 익스플로잇 기술 및 보안 패치 정보를 확인하도록 권장했습니다.