□ 개요
o 최근 미국 CISA(Cyber Infrastructure Security Agency)는 솔라윈즈社 제품* 관련 공급망 공격에 대한 긴급 보안 주의 발표 [1]
o 해당 제품을 사용중인 국내 이용자들은 악성코드 감염 등의 피해를 입을 수 있으므로, 대응 방안에 따라 보안 조치 권고
* 솔라윈즈 오리온 플랫폼 : 기업 내부에서 운영중인 시스템 모니터링 및 관리 위한 플랫폼
□ 주요 내용
o 솔라윈즈社의 제품 업데이트 과정에서 공격자가 악성코드를 배포한 사고 발생
□ 대응 방안
o 최신버전으로 업데이트 적용 [2]
제품명 | 영향받는 버전 | 최신 버전(해결 버전) |
솔라윈즈 오리온 플랫폼 (SolarWinds Orion Platform) |
v2019.4 HF 5 | v2019.4 HF 6 |
v2020.2 | v2020.2.1 HF 2 | |
v2020.2 HF 1 |
o 패치가 불가능한 경우
- 솔라윈즈 서버 격리(외부 연결-egress 차단)
- 솔라윈즈 서버와 연결된 중요 엔드포인트 연결 제한
- 솔라윈즈 서버의 로컬 관리자 권한을 가진 계정에 대한 범위 제한
- 솔라윈즈 서버 관리 계정의 암호 변경
- 의도되지 않거나 허가되지 않은 권한 변경에 대한 지속적 모니터링 수행
o 보안강화 방안
- 방화벽에 악성코드 탐지 규칙 추가 [3]
□ 현재(12.15일 기준)까지 알려진 악성코드 및 C&C 정보
o 영향받는 제품을 사용중인 기업 및 기관의 담당자는 하단의 정보를 이용하여 보안점검 수행하고, 관련 침해사고가 확인된 경우 한국인터넷진흥원에 신고
- 악성코드(Sunburst) MD5 해시값
1. 02af7cec58b9a5da1c542b5a32151ba1 2. 08e35543d6110ed11fdf558bb093d401 3. 2c4a910a1299cdae2a4e55988a2f102e 4. 846e27a652a5e1bfbd0ddd38a16dc865 5. b91ce2fa41029f6955bff20079468448 6. 4f2eb62fa529c0283b28d05ddd311fae 7. 56ceb6d0011d87b6e4d7023d7ef85676 |
- C&C 서버
1. 6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com 2. 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]com 3. gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]com 4. ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]com 5. k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]com 6. mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com 7. deftsecurity[.]com 8. freescanonline[.]com 9. thedoccloud[.]com 10. websitetheme[.]com 11. highdatabase[.]com 12. incomeupdate[.]com 13. databasegalore[.]com 14. panhardware[.]com 15. zupertech[.]com |
※ 참고 사이트[3] 확인하여 점검 수행
□ 기타 문의사항
o 모아데이터(솔라윈즈 코리아) : 070-4099-5131
o 하이라인닷넷(솔라윈즈 총판) : 1544-4450
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
[참고사이트]
[1] https://cyber.dhs.gov/ed/21-01/
[2] https://www.solarwinds.com/securityadvisory
[3] https://github.com/fireeye/sunburst_countermeasures/find/main
□ 작성 : 침해사고분석단 취약점분석팀
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
[보안 이슈] Mozilla 제품 보안 업데이트 권고 (0) | 2020.12.21 |
---|---|
[보안 이슈] Apple 제품군 보안 업데이트 권고 (0) | 2020.12.17 |
[보안 이슈] SAP 제품 보안 업데이트 권고 (0) | 2020.12.16 |
[보안 이슈] Cisco 제품 취약점 보안 업데이트 권고 (0) | 2020.12.16 |
[보안 이슈] MS 12월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2020.12.10 |