SolarWinds corrige Errores Críticos de RCE en la Solución de Auditoría de Derechos de Acceso

SolarWinds ha solucionado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten una explotación no autenticada.

Access Rights Manager permite a las empresas gestionar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.

CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica identificada como CVE-2023-40057 se debe a la deserialización de datos que no son de confianza.

Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en sistemas específicos que no estén parcheados.

Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden utilizar en ataques RCE y SolarWinds los calificó como problemas de alta gravedad.

Cuatro de las cinco fallas reparadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Iniciativa de Día Cero (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.

SolarWinds corrigió las fallas en Access Rights Manager 2023.2.3 que se lanzó este jueves con correcciones de errores y seguridad.

SolarWinds también solucionó otros tres errores críticos de Access Rights Manager RCE en octubre, lo que permitió a los atacantes ejecutar código con privilegios de SISTEMA.

Marzo de 2020 Ataque a la cadena de suministro de SolarWinds

Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Estas compilaciones troyanizadas facilitaron la implementación de la puerta trasera Sunburst en miles de sistemas, pero los atacantes apuntaron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.

Con una clientela que supera las 300.000 en todo el mundo, SolarWinds en ese momento prestaba servicios al 96 % de las empresas de Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA y la NSA, Servicio Postal, NOAA, Departamento de Justicia y Oficina del Presidente de los Estados Unidos.

Después de que se reveló el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que habían sido violadas, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Información y Telecomunicaciones (NTIA), los Institutos Nacionales de Salud. y la Administración Nacional de Seguridad Nuclear.

En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque SolarWinds.

En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles sobre problemas de defensa de la ciberseguridad antes del hack de 2020.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!