VU#706118: Workhorse Software ... 노트

VU#706118: Workhorse Software Services, Inc. 소프트웨어 1.9.4.48019 이전 버전의 기본 배포는 여러 문제에 취약합니다.

Workhorse Software Services의 1.9.4.48019 이전 버전의 지방자치단체 회계 소프트웨어에는 심각한 설계상의 결함이 있습니다. 이러한 결함은 민감한 지방자치단체 데이터에 대한 무단 접근을 허용하고 데이터 유출을 가능하게 합니다. 주요 취약점은 데이터베이스 연결 정보가 애플리케이션 실행 파일과 함께 일반 텍스트로 저장된다는 것입니다. 이를 통해 디렉토리에 읽기 접근 권한이 있는 사람은 SQL 인증을 사용하는 경우 SQL 자격 증명을 복구할 가능성이 있습니다. 또한, 이 소프트웨어는 로그인 화면에서도 접근 가능한 인증되지 않은 데이터베이스 백업 기능을 특징으로 합니다. 이 백업은 비밀번호 없이 복원할 수 있는 암호화되지 않은 ZIP 아카이브에 .bak 파일을 포함합니다. 공격자는 예를 들어 워크스테이션에 물리적으로 접근하거나 악성코드를 사용하여 이러한 취약점을 악용할 수 있습니다. 이러한 공격의 영향은 전체 데이터베이스의 유출이 될 수 있습니다. 이는 민감한 개인 식별 정보 및 포괄적인 지방자치단체 재무 기록을 노출시킬 수 있습니다. 또한 감사 추적을 훼손하고 재무 운영을 위협하는 데이터 변조도 상당한 위험입니다. CERT/CC는 즉시 1.9.4.48019 버전으로 업데이트할 것을 강력히 권장합니다. 추가적인 완화 전략에는 애플리케이션 디렉토리 접근 제한 및 Windows 인증을 사용한 SQL Server 암호화 활성화가 포함됩니다.