[하루한줄] Three Bugs in Orion's belt
URL
Three bugs in orion’s belt: Chaining multiple bugs for rce
Target
SolarWinds Orion Platform
Explain
ZDI에서 SunBurst 사건과 관련된 3가지 취약점의 세부 정보를 공개했습니다.
CVE-2020-14005
Alert Management 권한을 가진 SolarWinds 사용자는 SolarWinds Orion Platform의 web-based GUI 혹은 REST API를 통해 관리자 권한으로 원격 코드 실행을 할 수 있습니다. Alert Management 권한을 가진 사용자는 네트워크 이벤트를 처리할 VBS script의 경로를 지정할 수 있는데, 이 VBS script를 해석하고 실행할 interpreter의 경로 또한 API request의 내용을 조작해 임의로 설정이 가능합니다. 따라서 interpreter 대신 cmd.exe를 실행해 command injection을 할 수 있습니다.
CVE-2020-27869
특정 네트워크 이벤트 발생 시 서버로 보낼 GET 혹은 POST Request를 Configure Action 기능으로 설정할 수 있습니다. 해당 기능에서 SQL injection이 가능해 관리자 계정을 탈취할 수 있습니다.
... if (messageWithMacros.Contains("${SQL:")) { MacroParser.PrepareMacroStringForSQL(ref messageWithMacros); } ...서버에 보낼 POST request를 임의의 문자열로 지정할 수 있습니다. 만약 해당 문자열이
${SQL:를 포함하면 그 뒤에 따라오는 문자열을 SQL statement로 인식하고 처리하게 됩니다.
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.