‘와이즈 매니지먼트 스위트’에서 권한 상승 및 원격 코드 실행 취약점 2종 발견
가짜 장치 등록·AD 권한 탈취·로컬 저장소 변경 등 연쇄 공격 기법 악용

[보안뉴스 김형근 기자] 델(Dell)의 사내 서버 설치형 관리 소프트웨어인 ‘와이즈 매니지먼트 스위트(WMS)’에서 시스템 전체 권한을 탈취할 수 있는 치명적인 결함이 발견됐다.


보안 전문 기업 ‘피티 시큐리티’(PT Security) 소속 연구원들은 서로 다른 두 가지 취약점을 연쇄적으로 결합해, 인증받지 않은 공격자가 ‘원격 코드 실행’(RCE) 권한을 최종적으로 확보하는 공격 과정을 입증했다.

연구진에 따르면 공격에 악용된 취약점은 총 두 가지다. 먼저, 권한 상승 취약점인 ‘CVE-2026-22765’(CVSS 8.8)는 낮은 권한을 가진 일반 사용자가 시스템 전체를 제어하는 최고 관리자 권한을 탈취하도록 허용한다. 또, 임의 코드 실행 취약점 ‘CVE-2026-22766’(CVSS 7.2)은 관리자 권한을 획득한 공격자가 시스템 내부에 악성코드를 심고 실행할 수 있도록 만든다.

공격은 빈 토큰 제출을 통한 가짜 장치 등록부터 시작된다. 공격자는 WMS API와 상호작용할 수 있는 초기 교두보를 확보한다. 이후 노출된 사용자 인증 및 권한 관리 체계인 ‘액티브 디렉터리’(AD) 가져오기 경로를 악용해 관리자 권한을 가진 사용자 계정을 생성한다.

접근 권한을 획득하면 △비밀번호 재설정 기능의 논리적 허점 공략 △LDAP 인증 체계 교란 △로컬 파일 저장소 설정 변경 등을 통해 내부 시스템 무단 침입을 시도한다.

관리자 권한을 확보하면 로컬 파일 저장소 설정을 ‘톰캣’(Tomcat) 웹 루트 디렉터리로 임의 변경해 파일 업로드 제한을 완전히 무력화한다. 이 과정에서 업로드된 악성 ‘JSP 웹쉘’은 최종적으로 인증되지 않은 상태에서의 원격 명령 실행이라는 치명적인 결과로 이어진다.

사태의 심각성을 인지한 Dell은 보안 결함을 근본적으로 해결한 ‘WMS 5.5’ 버전을 공식 출시하고 긴급 패치 배포에 나섰다. 그리고 관리자들에게 즉각적인 업데이트를 당부했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>