SolarWinds Web Help Desk, 노출된 서버에 대한 다단계 공격에서 RCE로 악용
Source: The Hacker News
Ravie Lakshmanan
Feb 09, 2026 – 취약점 / 엔드포인트 보안
Microsoft 관찰
Microsoft는 공개된 바와 같이 위협 행위자들이 인터넷에 노출된 SolarWinds Web Help Desk (WHD) 인스턴스를 이용해 초기 접근을 얻고, 이후 조직 네트워크 전반에 걸쳐 다른 고가치 자산으로 횡격을 시도한 다단계 침입을 관찰했다고 밝혔습니다.
Microsoft Defender Security Research 팀은 이번 활동이 최근 공개된 결함 (CVE‑2025‑40551, CVSS 9.8 및 CVE‑2025‑40536, CVSS 8.1)을 이용했는지, 아니면 이전에 패치된 취약점 (CVE‑2025‑26399, CVSS 9.8)을 이용했는지는 명확하지 않다고 언급했습니다.
“공격이 2025년 12월에 발생했고, 동시에 이전 및 새로운 CVE 세트 모두에 취약한 시스템에서 이루어졌기 때문에, 초기 진입에 사용된 정확한 CVE를 신뢰할 수 있게 확인할 수 없습니다.”라고 회사는 지난 주 발표한 보고서에서 말했습니다.
Vulnerabilities involved
- CVE‑2025‑40536 – 인증되지 않은 공격자가 제한된 기능에 접근할 수 있는 보안 제어 우회 취약점.
- CVE‑2025‑40551 및 CVE‑2025‑26399 – 신뢰되지 않은 데이터 역직렬화 결함으로 원격 코드 실행이 발생할 수 있음.
CISA 조치
지난 주, 미국 Cybersecurity and Infrastructure Security Agency (CISA) 추가했습니다 CVE‑2025‑40551 을 Known Exploited Vulnerabilities (KEV) 카탈로그에 포함시켰으며, 실제 환경에서 활발히 악용되고 있다는 증거를 제시했습니다. 연방 민간 행정 부문(FCEB) 기관들은 2026년 2월 6일까지 해당 결함에 대한 수정 사항을 적용하라는 명령을 받았습니다.
Attack details
Microsoft가 탐지한 공격에서, 노출된 SolarWinds WHD 인스턴스를 성공적으로 악용함으로써 공격자는 인증되지 않은 원격 코드 실행을 달성하고 WHD 애플리케이션 컨텍스트 내에서 임의의 명령을 실행할 수 있었습니다.
“성공적인 악용이 이루어지면, 손상된 WHD 인스턴스의 서비스가 PowerShell을 스폰하여 [BITS – Background Intelligent Transfer Service] 를 활용해 페이로드를 다운로드하고 실행했습니다,” 라고 연구원 Sagar Patil, Hardik Suri, Eric Hopper, 그리고 Kajhon Soyini 가 언급했습니다.
Follow‑up actions observed
- Zoho ManageEngine(원격 모니터링 및 관리 솔루션)과 연관된 정상적인 구성 요소를 다운로드하여 지속적인 원격 제어를 가능하게 했습니다.
- Domain Admins를 포함한 민감한 도메인 사용자 및 그룹을 열거했습니다.
- 역 SSH 및 RDP 접근을 통해 지속성 확보를 수행했으며, 시작 시 SYSTEM 계정으로 QEMU 가상 머신을 실행하는 예약 작업을 만들려고 시도했습니다. 이를 통해 활동을 은폐하면서 포트 포워딩을 통해 SSH를 노출시켰습니다.
- 일부 호스트에서
wab.exe(Windows Address Book 실행 파일)를 이용해 DLL 사이드로드를 수행하고, 악성 DLL(sspicli.dll)을 로드하여 LSASS 메모리를 덤프하고 자격 증명을 탈취했습니다.
최소 한 건의 사례에서, Microsoft는 위협 행위자가 DCSync 공격(MITRE ATT&CK T1003.006)을 수행하여 도메인 컨트롤러를 가장하고 Active Directory 데이터베이스에서 비밀번호 해시 및 기타 민감한 데이터를 요청했다고 보고했습니다.
완화 권고사항
- 패치 SolarWinds WHD 인스턴스를 신속하게 업데이트하고 최신 상태를 유지하십시오.
- 식별 및 제거 모든 무단 RMM 도구(예: 악성 Zoho ManageEngine 구성 요소).
- 비밀번호 교체 서비스 계정 및 관리자 비밀번호를 주기적으로 변경하십시오.
- 격리 침해된 시스템을 격리하여 추가적인 횡방향 이동을 제한하십시오.
- 모니터링 정상적인 바이너리(예:
wab.exe)의 비정상적인 사용 및 예상치 못한 예약 작업이나 가상 머신 실행을 감시하십시오.
“이 활동은 흔하지만 높은 영향을 미치는 패턴을 보여줍니다. 하나의 노출된 애플리케이션이 취약점이 패치되지 않거나 충분히 모니터링되지 않을 경우 전체 도메인 침해 경로를 제공할 수 있습니다,” 라고 Windows 제조업체가 말했습니다.
“이번 침투에서 공격자는 ‘리빙‑오프‑더‑랜드(living‑off‑the‑land)’ 기법에 크게 의존했습니다…”
주요 내용
- 깊이 있는 방어
- 인터넷에 노출된 서비스의 신속한 패치
- 아이덴티티, 엔드포인트, 네트워크 계층 전반에 걸친 행동 기반 탐지
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 팔로우하세요: