A SolarWinds corrigiu oito vulnerabilidades críticas no seu software Access Rights Manager (ARM), sendo que seis dessas vulnerabilidades permitiam a invasores executar código remotamente (Remote Code Execution - RCE) em dispositivos vulneráveis.
O Access Rights Manager é uma ferramenta crítica em ambientes corporativos que auxilia os administradores a gerenciar e auditar os direitos de acesso em toda a infraestrutura de TI das suas organizações para minimizar o impacto de ameaças.
As vulnerabilidades de RCE (
CVE-2024-23469
,
CVE-2024-23466
,
CVE-2024-23467
,
CVE-2024-28074
,
CVE-2024-23471
e
CVE-2024-23470
)—todas classificadas com pontuações de severidade de 9,6/10—permitem que invasores sem privilégios realizem ações em sistemas não corrigidos executando código ou comandos, com ou sem privilégios de SYSTEM, dependendo da falha explorada.
A empresa também corrigiu três falhas críticas de travessia de diretório (
CVE-2024-23475
e
CVE-2024-23472
) que permitem a usuários não autenticados realizar a exclusão de arquivos arbitrários e obter informações sensíveis após acessar arquivos ou pastas fora dos diretórios restritos.
Além disso, foi corrigida uma vulnerabilidade crítica de bypass de autenticação (
CVE-2024-23465
) que pode permitir que atores maliciosos não autenticados obtenham acesso de administrador do domínio dentro do ambiente do Active Directory.
A SolarWinds corrigiu essas falhas (todas relatadas através da Iniciativa Zero-Day da Trend Micro) no Access Rights Manager 2024.3, lançado na quarta-feira com correções de bugs e segurança.
A empresa ainda não revelou se existem exploits de conceito para estas falhas disponíveis publicamente ou se alguma delas foi explorada em ataques.
Em fevereiro, a empresa corrigiu outras cinco vulnerabilidades de RCE no Access Rights Manager (ARM), três das quais foram classificadas como críticas porque permitiam exploração não autenticada.
Quatro anos atrás, os sistemas internos da SolarWinds foram violados pelo grupo de hackers russo APT29.
O grupo inseriu código malicioso nas builds da plataforma de administração de TI Orion, baixadas por clientes entre março de 2020 e junho de 2020.
Com mais de 300.000 clientes em todo o mundo na época, a SolarWinds prestava serviços para 96% das empresas da Fortune 500, incluindo empresas de tecnologia de alto perfil como Apple, Google e Amazon, e organizações governamentais como o Exército dos EUA, o Pentágono, o Departamento de Estado, a NASA, a NSA, o Serviço Postal, a NOAA, o Departamento de Justiça e o Escritório do Presidente dos Estados Unidos.
No entanto, embora os hackers russos tenham utilizado as atualizações trojanizadas para implantar o backdoor Sunburst em milhares de sistemas, eles visaram um número significativamente menor de clientes da SolarWinds para exploração adicional.
Após a divulgação do ataque à cadeia de fornecimento, várias agências do governo dos EUA confirmaram que suas redes foram violadas na campanha.
Isso incluiu os Departamentos de Estado, Segurança Interna, Tesouro e Energia, bem como a Administração Nacional de Telecomunicações e Informação (NTIA), os Institutos Nacionais de Saúde e a Administração Nacional de Segurança Nuclear.
Em abril de 2021, o governo dos EUA acusou formalmente o Serviço de Inteligência Estrangeira da Rússia (SVR) de orquestrar o ataque à SolarWinds em 2020, e a Comissão de Valores Mobiliários dos EUA (SEC) acusou a SolarWinds em outubro de 2023 por falhar em notificar os investidores sobre problemas de defesa cibernética antes do hack.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...