SolarWinds ha solucionado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten una explotación no autenticada.
Access Rights Manager permite a las empresas gestionar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.
CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica identificada como CVE-2023-40057 se debe a la deserialización de datos que no son de confianza.
Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en sistemas específicos que no estén parcheados.
Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden utilizar en ataques RCE y SolarWinds los calificó como problemas de alta gravedad.
Cuatro de las cinco fallas reparadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Iniciativa de Día Cero (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.
SolarWinds corrigió las fallas en Access Rights Manager 2023.2.3 que se lanzó este jueves con correcciones de errores y seguridad.
SolarWinds también solucionó otros tres errores críticos de Access Rights Manager RCE en octubre, lo que permitió a los atacantes ejecutar código con privilegios de SISTEMA.
Marzo de 2020 Ataque a la cadena de suministro de SolarWinds
Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.
Estas compilaciones troyanizadas facilitaron la implementación de la puerta trasera Sunburst en miles de sistemas, pero los atacantes apuntaron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.
Con una clientela que supera las 300.000 en todo el mundo, SolarWinds en ese momento prestaba servicios al 96 % de las empresas de Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA y la NSA, Servicio Postal, NOAA, Departamento de Justicia y Oficina del Presidente de los Estados Unidos.
Después de que se reveló el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que habían sido violadas, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Información y Telecomunicaciones (NTIA), los Institutos Nacionales de Salud. y la Administración Nacional de Seguridad Nuclear.
En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque SolarWinds.
En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles sobre problemas de defensa de la ciberseguridad antes del hack de 2020.