Microsoft: SolarWinds, Log4j 공격에 악용된 Serv-U 취약점 패치

SolarWinds는 Log4j 공격을 악용하는데 적극적으로 사용되었던 Serv-U 취약점을 패치했습니다.

 

Microsoft는 Log4j 공격을 모니터링하는 동안 해당 취약점을 발견했다고 밝혔습니다. 이 취약점은 Microsoft 보안 연구원 Jonathan Bar Or가 발견한 입력 유효성 검사 취약점으로, 공격자는 쿼리를 생성해 네트워크로 전송할 수 있습니다.

 

Microsoft는 Log4 권고 업데이트에서 "Log4j 2 취약점을 악용하는 공격을 지속적으로 모니터링하는 동안 SolarWinds Server-U 소프트웨어의 이전에 공개되지 않은 취약점을 이용한 공격 활동을 관찰했습니다."라고 설명합니다.

 

"현재 CVE-2021-35247 취약점은 입력 유효성 검사 취약점이며 이를 통해 공격자는 일부 입력을 통해 쿼리를 작성하고 네트워크를 통해 해당 쿼리를 전송할 수 있습니다."

 

2022년 1월 18일, SolarWinds는 CVE-2021-35247에 대한 보안 권고 사항을 발표하고 취약점을 수정하기 위해 Serv-U 15.3을 출시했습니다. SolarWinds 보안 권고는 "LDAP 인증에 대한 Serv-U 웹 로그인 화면에서 충분히 검사되지 않은 문자열을 허용하고 있었다"고 밝혔습니다.

 

"SolarWinds는 입력 메커니즘을 업데이트하여 추가 검증 및 검사를 수행했습니다. "SolarWinds는 "LDAP 서버가 잘못된 문자열을 무시했기 때문에" 다운스트림 효과가 감지되지 않았다고 덧붙였습니다.

[그림 1] SolarWinds 보안 권고 (출처: SolarWinds)

 

현재로선 공격자들이 이 취약점을 이용하려고 시도했지만 실패했는지, Microsoft가 발견한 대로 Log4j 공격이 성공적으로 전파되었는지는 알 수 없습니다.

 

다만, 공격자들은 과거 Serv-U 취약점을 악용하여 Conti 랜섬웨어 공격과 기타 비공개 공격을 수행했습니다.

SolarWinds Server-U 소프트웨어를 사용할 경우, SolarWinds 보안 권고를 참고하여 릴리스된 보안 업데이트를 적용해야 합니다.

 

(출처 :
https://www.bleepingcomputer.com/news/microsoft/microsoft-solarwinds-fixes-serv-u-bug-exploited-for-log4j-attacks/
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35247)

 

보안관제센터 MIR Team