A SolarWinds corrigiu cinco falhas de execução remota de código (RCE) em sua solução Access Rights Manager (ARM), incluindo três vulnerabilidades de gravidade crítica que permitem a exploração de acesso não autenticado. O Access Rights Manager permite que as empresas gerenciem e auditem os direitos de acesso em sua infraestrutura de TI para minimizar o impacto de ameaças internas.
Os CVE-2024-23476 e CVE-2024-23479 são devidos a pontos fracos de path traversal, também conhecido como passagem de diretório, enquanto a terceira falha crítica rastreada como CVE-2023-40057 é causada pela desserialização de dados não confiáveis. Invasores podem explorar todos os três bugs para obter execução de código em sistemas que não tenham sido corrigidos. Os outros dois bugs (CVE-2024-23477 e CVE-2024-23478) também podem ser usados em ataques RCE e foram classificados pela SolarWinds como problemas de alta gravidade.
Quatro das cinco falhas corrigidas pela SolarWinds na semana passada foram encontradas e relatadas por pesquisadores anônimos que trabalham com a Zero Day Initiative (ZDI) da Trend Micro. Já a quinta descoberta foi do pesquisador de vulnerabilidades da ZDI, Piotr Bazydło.
A SolarWinds corrigiu as falhas do Access Rights Manager 2023.2.3, que foi lançada na quinta-feira passada, 15, com correções de bugs e segurança. A empresa afirma não ter recebido nenhum relato de exploração dessas vulnerabilidades.
Quatro anos atrás, o grupo de hackers russo APT29, divisão de hackers do Serviço de Inteligência Estrangeira da Rússia (SVR), se infiltrou nos sistemas internos da SolarWinds, injetando código malicioso nas versões da plataforma de administração de TI SolarWinds Orion baixadas pelos clientes entre março de 2020 e junho de 2020. Essas versões trojanizadas facilitaram a implantação da backdoor Sunburst em milhares de sistemas, mas os invasores visaram seletivamente um número significativamente menor de organizações para exploração adicional.
Veja isso
SEC processa SolarWinds alegando controles falhos
SolarWinds quer rejeição de ação da SEC dizendo ser infundada
Com uma carteira de clientes superior a 300 mil empresas em todo o mundo, a SolarWinds na época atendia 96% das companhias da lista Fortune 500, incluindo empresas de alto perfil como Apple, Google e Amazon, bem como organizações governamentais como as Forças Armadas dos EUA, Pentágono, Departamento de Estado, Nasa, NSA, Correios, Departamento de Justiça e Gabinete do Presidente dos Estados Unidos.
Em abril de 2021, o governo dos Estados Unidos acusou formalmente o SVR de orquestrar o ataque cibernético à SolarWinds. Em outubro do ano passado, a Comissão de Valores Mobiliários (SEC) dos EUA acusou a SolarWinds de fraudar investidores ao supostamente não notificá-los sobre questões de defesa de segurança cibernética antes do hack de 2020.
Para ter acesso ao detalhamento e às mitigações das vulnerabilidades envolvendo a solução Access Rights Manager (ARM) da SolarWinds, em inglês, clique aqui.