‘와이즈 매니지먼트 스위트’에서 권한 상승 및 원격 코드 실행 취약점 2종 발견
가짜 장치 등록·AD 권한 탈취·로컬 저장소 변경 등 연쇄 공격 기법 악용 가능

[보안뉴스 김형근 기자] 보안 전문 기업 ‘피티 시큐리티’(PT Security)가 델(Dell)의 씬 클라이언트 관리 소프트웨어인 ‘와이즈 매니지먼트 스위트(WMS)’에서 발견된 결함이 시스템 전체 권한을 탈취할 수 있다는 분석 연구 결과를 발표했다.


서로 다른 두 가지 취약점을 연쇄적으로 결합하면, 인증받지 않은 공격자가 ‘원격 코드 실행’(RCE) 권한을 최종적으로 확보할 수 있다는 것이다.

Dell은 지난 2월 말, 해당 보안 결함을 근본적으로 해결한 ‘WMS 5.5’ 버전을 공식 출시하고 긴급 패치 배포에 나섰다. 그리고 관리자들에게 즉각적인 업데이트를 당부했다.

연구진에 따르면 공격에 악용된 취약점은 총 두 가지다. 먼저, 권한 상승 취약점인 ‘CVE-2026-22765’(CVSS 8.8)는 낮은 권한을 가진 일반 사용자가 시스템 전체를 제어하는 최고 관리자 권한을 탈취하도록 허용한다. 또, 임의 코드 실행 취약점 ‘CVE-2026-22766’(CVSS 7.2)은 관리자 권한을 획득한 공격자가 시스템 내부에 악성코드를 심고 실행할 수 있도록 만든다.

공격은 빈 토큰 제출을 통한 가짜 장치 등록부터 시작된다. 공격자는 WMS API와 상호작용할 수 있는 초기 교두보를 확보한다. 이후 노출된 사용자 인증 및 권한 관리 체계인 ‘액티브 디렉터리’(AD) 가져오기 경로를 악용해 관리자 권한을 가진 사용자 계정을 생성한다.

접근 권한을 획득하면 △비밀번호 재설정 기능의 논리적 허점 공략 △LDAP 인증 체계 교란 △로컬 파일 저장소 설정 변경 등을 통해 내부 시스템 무단 침입을 시도한다.

관리자 권한을 확보하면 로컬 파일 저장소 설정을 ‘톰캣’(Tomcat) 웹 루트 디렉터리로 임의 변경해 파일 업로드 제한을 완전히 무력화한다. 연구진은 이 과정에서 업로드된 악성 ‘JSP 웹쉘’은 최종적으로 인증되지 않은 상태에서의 원격 명령 실행이라는 치명적인 결과로 이어진다고 밝혔다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>