[하루한줄] CVE-2020-10148: SolarWinds Orion API auth bypass to RCE

URL

CVE-2020-10148

Target

  • 2019.4 HF 6 이전 버전
  • 2020.2.1 HF 2 이전 버전

Explain

SolarWinds Orion platform에서 API 인증 우회를 통한 원격 코드 실행 취약점이 패치되었습니다. FireEye가 작년 12월 공개한 Sunburst backdoor로 인해 SolarWinds Orion platform은 큰 이슈가 되었습니다. 그 후 SolarWinds Orion platform에 대한 깊은 분석이 진행되면서 발견된 취약점 중 하나가 CVE-2020-10148입니다.

SolarWinds Orion platform은 시스템 모니터링 및 관리 목적으로 만들어진 infrastructure입니다. 사용자는 Orion Website를 통해 서버에 설치된 Orion에 접근해 서버를 관리할 수 있으며 SolarWinds Orion API를 요청해 SolarWinds Orion platform을 사용할 수 있습니다.

URI를 통해 Orion 서버에 요청을 보낼 때 Request.PathInfo 파라미터에 WebResource.adx, ScriptResource.adx, i18n.ashx, Skipi18n등의 값을 지정하면 SolarWinds가 SkipAuthorization flag를 설정합니다. 이로 인해 해커가 인증 절차를 건너뛰고 API 커멘드를 실행할 수 있게 됩니다.