SolarWinds отстрани осем критични уязвимости в своя софтуер Access Rights Manager (ARM), шест от които позволяват на атакуващите да получат отдалечено изпълнение на код (RCE) на уязвими устройства.
Мениджърът за права на достъп е критичен инструмент в корпоративните среди, който помага на администраторите да управляват и одитират правата на достъп в ИТ инфраструктурата на организацията, за да сведат до минимум въздействието на заплахите.
Уязвимостите RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 и CVE-2024-23470) – всички оценени с 9,6/10 точки за сериозност – позволяват на атакуващите без привилегии да извършват действия на непоправени системи, като изпълняват код или команди, със или без привилегии на SYSTEM в зависимост от експлоатирания недостатък.
Компанията също така е поправила три критични дефекта при обхождане на директории (CVE-2024-23475 и CVE-2024-23472), които позволяват на неупълномощени потребители да извършват произволно изтриване на файлове и да получават чувствителна информация след достъп до файлове или папки извън ограничени директории.
Поправена е и уязвимост с висока степен на опасност за заобикаляне на удостоверяването (CVE-2024-23465), която може да позволи на неавтентифицирани злонамерени лица да получат достъп до администратор на домейн в средата на Active Directory.
SolarWinds отстрани недостатъците (всички докладвани чрез инициативата Zero Day на Trend Micro) в Access Rights Manager 2024.3, пуснат в сряда с поправки на грешки и поправки на сигурността.
Компанията все още не е разкрила дали в природата са налични доказателства за концептуални експлойти за тези недостатъци или дали някой от тях е бил използван при атаки.
През февруари компанията поправи пет други уязвимости RCE в решението Access Rights Manager (ARM), три от които бяха оценени като критични, тъй като позволяваха неавтентично използване.
Преди четири години вътрешните системи на SolarWinds бяха пробити от руската хакерска група APT29. Групата за заплахи инжектира зловреден код в изгражданията на платформата за ИТ администриране Orion, изтеглени от клиентите между март 2020 г. и юни 2020 г.
С над 300 000 клиенти по света по това време SolarWinds обслужваше 96% от компаниите от класацията Fortune 500, включително високопрофилни технологични компании като Apple, Google и Amazon, както и правителствени организации като американската армия, Пентагона, Държавния департамент, НАСА, NSA, Пощенската служба, NOAA, Министерството на правосъдието и Канцеларията на президента на САЩ.
Въпреки че руските държавни хакери са използвали троянските актуализации, за да разположат задната врата Sunburst на хиляди системи, те са се насочили само към значително по-малък брой клиенти на Solarwinds за по-нататъшна експлоатация.
След разкриването на атаката по веригата за доставки множество американски правителствени агенции потвърдиха, че техните мрежи са били пробити в кампанията. Сред тях са министерствата на външните работи, вътрешната сигурност, финансите и енергетиката, както и Националната администрация по телекомуникации и информация (NTIA), Националните институти по здравеопазване и Националната администрация по ядрена сигурност.
През април 2021 г. правителството на САЩ официално обвини руската Служба за външно разузнаване (СВР), че е организирала атаката на SolarWinds през 2020 г., а Комисията по ценните книжа и фондовите борси на САЩ (КЦКФБ) обвини SolarWinds през октомври 2023 г., че не е уведомила инвеститорите за проблеми със защитата на киберсигурността преди хакерската атака.
