Осем новооткрити уязвимости в инструмента SolarWinds Access Rights Manager Tool (ARM) – включително три, които се считат за критични – могат да отворят вратата за нападателите да получат най-високи нива на привилегии във всички непоправени системи.
Като широка платформа за управление на ИТ SolarWinds заема уникално чувствително място в корпоративните мрежи, както светът научи по трудния начин преди три години. Нейната сила да наблюдава и влияе на критичните компоненти в корпоративната мрежа не е по-добре олицетворена от инструмента ARM, който администраторите използват, за да предоставят, управляват и одитират правата за достъп на потребителите до данни, файлове и системи.
Така че администраторите трябва да обърнат внимание, че в четвъртък инициативата Zero Day Initiative (ZDI) на Trend Micro разкри серия от уязвимости в ARM с оценка „висока“ и „критична“. Както обяснява Дъстин Чайлдс, ръководител на отдела за осъзнаване на заплахите в ZDI: „Най-сериозните от тези грешки биха позволили на отдалечен неаутентифициран нападател да изпълни произволен код на системно ниво. Те биха могли напълно да завладеят засегнатата система. Въпреки че не сме разглеждали възможността за използване, потенциалът на тези уязвимости е толкова лош, колкото е възможно.“
Две от осемте уязвимости – CVE-2023-35181 и CVE-2023-35183 – позволяват на неупълномощени потребители да злоупотребяват с локални ресурси и неправилни разрешения за папки, за да извършват локално повишаване на привилегиите. На всяка от тях е присвоена оценка за сериозност „висока“ – 7,8 от 10.
Още няколко – CVE-2023-35180, CVE-2023-35184 и CVE-2023-35186, всички с оценка 8,8 от 10 от Trend Micro – отварят вратата за потребителите да злоупотребят с услуга на SolarWinds или нейния ARM API, за да извършат отдалечено изпълнение на код (RCE).
Най-голямо безпокойство обаче предизвикват друга тройка уязвимости RCE, на които Trend Micro е присъдила „критични“ оценки от 9,8: (От своя страна SolarWinds се разминава с Trend Micro тук, като дава на всички тях оценки 8,8.)
Във всеки от случаите липсата на правилно валидиране на методите createGlobalServerChannelInternal, OpenFile и OpenClientUpdateFile съответно може да позволи на атакуващите да изпълнят произволен код на ниво SYSTEM – най-високото възможно ниво на привилегии в машина с Windows. И за разлика от другите пет грешки, публикувани в четвъртък, тези три не изискват предварителна автентикация за използване.
Новата версия 2023.2.1 на ARM, публикувана в сряда, отстранява всичките осем уязвимости. На клиентите на SolarWinds се препоръчва незабавно да направят пачове.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.