SolarWinds Web Help Desk RCE 경고: 실제 악용과 도메인 침해
요약
Microsoft는 인터넷에 노출된 SolarWinds Web Help Desk 인스턴스가 실제로 악용돼, 인증 없는 원격 코드 실행 이후 PowerShell·BITS·원격 관리 도구를 활용한 저소음 침입으로 도메인 관리자 권한 탈취와 DCSync까지 이어진 사례를 확인했다고 밝혔다. 이는 단일 헬프데스크 서버 취약점이 전체 도메인 침해, 계정 탈취, 서비스 중단, 랜섬웨어·데이터 유출로 확산될 수 있음을 보여주며, 관리자에게는 신속한 패치와 함께 엔드포인트·ID·네트워크 전반의 행위 기반 탐지 강화가 중요하다는 점을 시사한다.
Security 관련 도움이 필요하신가요?전문가와 상담하기
Introduction: why this matters
인터넷에 노출된 업무용(line-of-business) 도구는 여전히 고가치 표적이며, Microsoft는 단일 SolarWinds Web Help Desk(WHD) 인스턴스 침해가 더 광범위한 도메인 침해로 이어지는 실제 공격을 관찰했다. 이 캠페인은 “living-off-the-land”(LoTL) 행위, 정식 관리자 도구 사용, 저소음(낮은 흔적) 지속성 확보가 두드러지며, 이러한 전술은 시그니처 기반 통제만으로는 종종 탐지를 회피한다.
What’s new / what Microsoft observed
Microsoft Defender Research는 외부에 노출된 WHD 서버에서 시작되는 다단계 침입을 확인했다:
- WHD 취약점 악용을 통한 초기 접근(RCE): 성공적인 악용으로 WHD 애플리케이션 컨텍스트에서 인증 없는 원격 코드 실행이 가능해졌다. Microsoft는 사용된 특정 취약점을 확인하지 않았지만, 영향을 받은 시스템이 CVE-2025-40551, CVE-2025-40536, CVE-2025-26399에 취약했다고 언급했다.
- 기본 제공 도구를 이용한 페이로드 전달: 침해 이후 WHD 서비스가 PowerShell을 실행(spawn)했으며, BITS를 사용해 페이로드를 다운로드하고 실행했다.
- 제어를 위한 합법적 RMM 사용: 여러 사례에서 공격자는 대화형 접근을 확보하기 위해 Zoho ManageEngine (RMM) 구성 요소(예: ToolsIQ.exe 같은 아티팩트)를 설치했다.
- 자격 증명 접근 및 권한 상승:
- Domain Admins를 포함한 도메인 사용자/그룹 열거.
- wab.exe가 악성 sspicli.dll을 로드하도록 하는 DLL sideloading을 통해 LSASS 접근 및 더 은밀한 자격 증명 탈취 수행.
- 최소 1건의 사고가 DCSync로 진행되어, 고권한 자격 증명 접근이 있었음을 시사.
- 지속성 및 회피:
- 리버스 SSH 및 RDP 접근.
- 특히 은밀한 기법: 시작 시 SYSTEM 권한으로 QEMU를 실행하는 **예약 작업(scheduled task)**을 구성해, 호스트 포트로 SSH를 포워딩하면서 VM 내부에 활동을 숨김.
Impact on IT admins and end users
- 관리자(Admins): 공개적으로 도달 가능한 WHD 인스턴스는 도메인 전체 침해로 이어질 수 있는 잠재적 진입점으로 간주해야 한다. 공격자는 관리 활동(PowerShell/BITS/RDP/SSH)과 섞여 보이므로, 엔드포인트·ID·네트워크 전반의 행위 기반 모니터링이 필수다.
- 최종 사용자(End users): 도메인 제어가 확보되면 계정 탈취, 비밀번호 유출, 서비스 중단, 랜섬웨어 또는 데이터 탈취 위험 등으로 파급될 수 있다.
Recommended actions / next steps
- 즉시 패치 적용 및 노출 축소
- CVE-2025-40551, CVE-2025-40536, CVE-2025-26399를 해결하는 업데이트를 적용한다.
- 가능하면 공개 노출을 제거하고, 관리자 경로를 제한하며, 로깅을 강화한다(Ajax Proxy 등 WHD 구성 요소 포함).
- 사후 침해 지표(post-exploitation indicators) 헌팅
- **Microsoft Defender Vulnerability Management (MDVM)**로 취약한 WHD 서버를 식별한다.
- Defender XDR Advanced Hunting에서 WHD에서 시작되는 의심스러운 프로세스 체인(예: wrapper.exe가 PowerShell/BITS를 실행)을 찾고, 의심 침해 시점 이후 추가된 ManageEngine/RMM 아티팩트를 탐색한다.
- 비인가 원격 도구 제거
- 예상치 못한 ManageEngine RMM 구성 요소를 식별해 제거하고, 배포 경로를 조사한다.
- 격리 및 복구
- 의심 호스트를 격리하고, WHD에서 접근 가능한 서비스 계정과 관리자 계정부터 **자격 증명을 교체(rotate)**한다.
- ID 침해 신호(pass-the-hash/over-pass-the-hash) 및 DCSync 지표를 조사한다.
Microsoft는 분석이 진행 중이라고 덧붙였으며, 방어자는 актив(현재) 악용이 계속된다고 가정하고 인터넷 노출 애플리케이션 위생과 다계층 탐지를 최우선으로 해야 한다.
Microsoft 기술 최신 정보 받기
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response