본문 바로가기

취약점 정보1

솔라윈즈 오리온 플랫폼 보안 주의 권고

728x90

□ 개요
 o 최근 미국 CISA(Cyber Infrastructure Security Agency)는 솔라윈즈社 제품* 관련 공급망 공격에 대한 긴급 보안 주의 발표 [1]
 o 해당 제품을 사용중인 국내 이용자들은 악성코드 감염 등의 피해를 입을 수 있으므로, 대응 방안에 따라 보안 조치 권고
  * 솔라윈즈 오리온 플랫폼 : 기업 내부에서 운영중인 시스템 모니터링 및 관리 위한 플랫폼
 
□ 주요 내용
 o 솔라윈즈社의 제품 업데이트 과정에서 공격자가 악성코드를 배포한 사고 발생
 
□ 대응 방안
 o 최신버전으로 업데이트 적용 [2]

제품명 영향받는 버전 최신 버전(해결 버전)
솔라윈즈 오리온 플랫폼
(SolarWinds Orion Platform)
v2019.4 HF 5 v2019.4 HF 6
v2020.2 v2020.2.1 HF 2
v2020.2 HF 1

 

 o 패치가 불가능한 경우
  - 솔라윈즈 서버 격리(외부 연결-egress 차단)
  - 솔라윈즈 서버와 연결된 중요 엔드포인트 연결 제한
  - 솔라윈즈 서버의 로컬 관리자 권한을 가진 계정에 대한 범위 제한
  - 솔라윈즈 서버 관리 계정의 암호 변경
  - 의도되지 않거나 허가되지 않은 권한 변경에 대한 지속적 모니터링 수행

 o 보안강화 방안
  - 방화벽에 악성코드 탐지 규칙 추가 [3]
 
□ 현재(12.15일 기준)까지 알려진 악성코드 및 C&C 정보
 o 영향받는 제품을 사용중인 기업 및 기관의 담당자는 하단의 정보를 이용하여 보안점검 수행하고, 관련 침해사고가 확인된 경우 한국인터넷진흥원에 신고
  - 악성코드(Sunburst) MD5 해시값

1. 02af7cec58b9a5da1c542b5a32151ba1
2. 08e35543d6110ed11fdf558bb093d401
3. 2c4a910a1299cdae2a4e55988a2f102e
4. 846e27a652a5e1bfbd0ddd38a16dc865
5. b91ce2fa41029f6955bff20079468448
6. 4f2eb62fa529c0283b28d05ddd311fae
7. 56ceb6d0011d87b6e4d7023d7ef85676

 
  - C&C 서버

1. 6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com
2. 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]com
3. gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]com
4. ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]com
5. k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]com
6. mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
7. deftsecurity[.]com
8. freescanonline[.]com
9. thedoccloud[.]com
10. websitetheme[.]com
11. highdatabase[.]com
12. incomeupdate[.]com
13. databasegalore[.]com
14. panhardware[.]com
15. zupertech[.]com

 ※ 참고 사이트[3] 확인하여 점검 수행

 


 
[참고사이트]
[1] https://cyber.dhs.gov/ed/21-01/
[2] https://www.solarwinds.com/securityadvisory

[3] https://github.com/fireeye/sunburst_countermeasures/find/main

728x90