SolarWinds se pozabavio nizom kritičnih sigurnosnih nedostataka koji utiču na njegov softver Access Rights Manager (ARM) koji bi se mogao iskoristiti za pristup osjetljivim informacijama ili izvršavanje proizvoljnog koda.
Od 13 ranjivosti, osam je ocijenjeno kritičnim po ozbiljnosti i imaju CVSS ocjenu 9,6 od 10,0. Preostalih pet slabosti ocijenjeno je visokom ozbiljnošću, pri čemu četiri od njih imaju CVSS skor 7,6, a jedna 8,3.
Najozbiljniji nedostaci su navedeni u nastavku:
- CVE-2024-23472 – SolarWinds ARM prelazak preko ARM direktorijuma Proizvoljno brisanje datoteka i ranjivost u otkrivanju informacija
- CVE-2024-28074 – SolarWinds ARM interna deserializacija ranjivost u izvršavanju udaljenog koda
- CVE-2024-23469 – Solarwinds ARM izložen opasnoj metodi Ranjivost daljinskog izvršavanja koda
- CVE-2024-23475 – Ranjivost pri prelasku i otkrivanju informacija Solarwinds ARM-om
- CVE-2024-23467 – Solarwinds ARM Traversal Remote Code Execution Ranjivost
- CVE-2024-23466 – Ranjivost u izvršavanju udaljenog koda u Solarwinds ARM direktorijumu
- CVE-2024-23470 – Solarwinds ARM UserScriptHumster izložen opasnoj metodi Ranjivost u izvršavanju daljinske komande
- CVE-2024-23471 – Solarwinds ARM CreateFile Directory Traversal Remote Code Execution Ranjivost
Uspješno iskorištavanje gore navedenih ranjivosti moglo bi omogućiti napadaču da čita i briše datoteke i izvršava kod s povišenim privilegijama.
Nedostaci su otklonjeni u verziji 2024.3 objavljenoj 17. jula 2024., nakon odgovornog otkrivanja u sklopu Trend Micro Zero Day Initiative (ZDI).
Razvoj dolazi nakon što je američka Agencija za cyber i infrastrukturnu sigurnost (CISA) postavila veliku grešku u prelasku putanje u SolarWinds Serv-U Path (CVE-2024-28995, CVSS rezultat: 8,6) u svoj katalog poznatih eksploatiranih ranjivosti (KEV) koji slijedi izvještaji o aktivnoj eksploataciji u divljini.
Kompanija za mrežnu sigurnost bila je žrtva velikog napada na lanac snabdijevanja 2020. godine nakon što su ruski APT29 hakeri kompromitirali mehanizam ažuriranja koji je povezan s njenom platformom za upravljanje mrežom Orion kako bi distribuirali zlonamjerni kod nizvodnim korisnicima u sklopu kampanje cyber špijunaže visokog profila.
Kršenje je navelo američku Komisiju za hartije od vrijednosti (SEC) da podnese tužbu protiv SolarWinds-a i njegovog glavnog službenika za sigurnost informacija (CISO) prošlog oktobra, navodeći da kompanija nije otkrila adekvatne materijalne informacije investitorima u vezi sa rizicima sajber-sigurnosti.
Međutim, veliki dio tvrdnji koje se odnose na tužbu odbacio je američki Okružni sud za južni okrug New Yorka (SDNY) 18. jula, navodeći da se “ne navode vjerodostojne nedostatke u izvještavanju kompanije o haku na cyber sigurnost” i da se “nedopustivo oslanjaju na retrospektiva i spekulacije”.
Izvor:The Hacker News