A SolarWinds corrigiu cinco falhas de execução de código remoto (RCE) em sua solução Access Rights Manager (ARM), incluindo três vulnerabilidades de gravidade crítica que permitem exploração desautenticada.
O Access Rights Manager permite que empresas gerenciem e auditem os direitos de acesso em toda a sua infraestrutura de TI para minimizar o impacto da ameaça interna e mais.
CVE-2024-23476
e
CVE-2024-23479
são devidos a fraquezas de percurso de caminho, enquanto a terceira falha crítica, rastreada como
CVE-2023-40057
, é causada pela desserialização de dados não confiáveis.
Atacantes não autenticados podem explorar todos os três para obter execução de código em sistemas direcionados que não foram corrigidos.
Os outros dois bugs (
CVE-2024-23477
e
CVE-2024-23478
) também podem ser usados em ataques de RCE e foram classificados pela SolarWinds como problemas de alta gravidade.
Quatro das cinco falhas corrigidas pela SolarWinds esta semana foram encontradas e relatadas por pesquisadores anônimos trabalhando com a Iniciativa Zero-day (ZDI) da Trend Micro, com a quinta descoberta pelo pesquisador de vulnerabilidades da ZDI Piotr Bazydło.
A SolarWinds corrigiu as falhas no Access Rights Manager 2023.2.3, que foi lançado nesta quinta-feira com correções de bugs e segurança.
A empresa não recebeu nenhum relato dessas vulnerabilidades sendo exploradas em estado selvagem, disse um porta-voz da SolarWinds ao BleepingComputer.
"Essas vulnerabilidades foram divulgadas pela Equipe de Pesquisa de Segurança da Trend Micro, que colabora com a SolarWinds como parte de nosso programa de divulgação responsável e nosso compromisso contínuo com o desenvolvimento de software seguro", disse o porta-voz ao BleepingComputer.
"Entramos em contato com os clientes para garantir que eles possam tomar as medidas para resolver essas vulnerabilidades ao aplicar os patches que lançamos.
A divulgação responsável de vulnerabilidades é fundamental para melhorar a segurança dentro de nossos produtos e da indústria em geral, e agradecemos à Trend Micro pela parceria."
A SolarWinds também corrigiu outros três bugs críticos de RCE do Access Rights Manager em outubro, permitindo que os invasores executassem código com privilégios de SYSTEM.
Há quatro anos, o grupo de hackers APT29 da Rússia invadiu os sistemas internos da SolarWinds, injetando código malicioso nas compilações da plataforma de administração de TI Orion da SolarWinds baixadas por clientes entre março de 2020 e junho de 2020.
Essas compilações trojanizadas facilitaram a implantação do backdoor Sunburst em milhares de sistemas, mas os invasores direcionavam seletivamente um número significativamente menor de organizações para exploração adicional.
Com uma clientela superior a 300.000 em todo o mundo, a SolarWinds na época atendia 96% das empresas da Fortune 500, incluindo empresas de alto perfil como Apple, Google e Amazon, bem como organizações governamentais como o Exército dos EUA, o Pentágono, o Departamento de Estado, NASA, NSA, Serviço Postal, NOAA, Departamento de Justiça e o Gabinete do Presidente dos Estados Unidos.
Após o ataque na cadeia de abastecimento ser divulgado, várias agências do governo dos EUA confirmaram que foram violadas, incluindo os Departamentos de Estado, Segurança Interna, Tesouro e Energia, bem como a Administração Nacional de Telecomunicações e Informação (NTIA), o Instituto Nacional de Saúde e a Administração Nacional de Segurança Nuclear.
Em abril de 2021, o governo dos Estados Unidos acusou formalmente o Serviço de Inteligência Estrangeiro Russo (SVR) de orquestrar o ciberataque à SolarWinds.
Em outubro, a Comissão de Valores Mobiliários dos EUA (SEC) acusou a SolarWinds de fraudar investidores por supostamente falhar em notificá-los sobre questões de defesa de cibersegurança antes do hack de 2020.
Atualização 16 de fevereiro, 14:31 EST: Adicionada declaração da SolarWinds.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...