Underc0de

SolarWinds ha abordado un conjunto de fallos de seguridad críticos que afectan a su software Access Rights Manager (ARM), los cuales podrían ser explotados para acceder a información confidencial o ejecutar código arbitrario. De las 13 vulnerabilidades identificadas, ocho están clasificadas como críticas, con una puntuación CVSS de 9,6 sobre 10,0. Las cinco restantes se consideran de alta gravedad, con cuatro de ellas puntuadas en 7,6 y una en 8,3.

Las vulnerabilidades más graves incluyen:

• CVE-2024-23472: Vulnerabilidad de divulgación de información y eliminación arbitraria de archivos de cruce de directorios en SolarWinds ARM.
• CVE-2024-28074: Vulnerabilidad de ejecución remota de código por deserialización interna en SolarWinds ARM.
• CVE-2024-23469: Vulnerabilidad de ejecución remota de código en métodos peligrosos expuestos en SolarWinds ARM.
• CVE-2024-23475: Vulnerabilidad de divulgación de información y cruce de directorios en SolarWinds ARM.
• CVE-2024-23467: Vulnerabilidad de ejecución remota de código transversal en SolarWinds ARM.
• CVE-2024-23466: Vulnerabilidad de ejecución remota de código transversal de directorios en SolarWinds ARM.
• CVE-2024-23470: Vulnerabilidad de ejecución remota de comandos en UserScriptHumster de SolarWinds ARM.
• CVE-2024-23471: Vulnerabilidad de ejecución remota de código transversal de directorios CreateFile en SolarWinds ARM.

La explotación exitosa de estas vulnerabilidades permitiría a un atacante leer y eliminar archivos, así como ejecutar código con privilegios elevados. Las deficiencias han sido solucionadas en la versión 2024.3, lanzada el 17 de julio de 2024, tras una divulgación responsable como parte de la Trend Micro Zero Day Initiative (ZDI).

Este desarrollo se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) incluyera una vulnerabilidad transversal de alta gravedad en SolarWinds Serv-U Path (CVE-2024-28995, puntuación CVSS: 8,6) en su catálogo de vulnerabilidades explotadas conocidas (KEV), tras informes de explotación activa.

SolarWinds, empresa de seguridad de redes, fue víctima de un significativo ataque a la cadena de suministro en 2020, cuando el mecanismo de actualización de su plataforma de gestión de redes Orion fue comprometido por hackers rusos APT29, distribuyendo código malicioso a clientes intermedios en una campaña de ciberespionaje de alto perfil. Esta violación llevó a la Comisión de Bolsa y Valores de EE. UU. (SEC) a presentar una demanda contra SolarWinds y su director de seguridad de la información (CISO) en octubre pasado, alegando que no se informó adecuadamente a los inversores sobre los riesgos de ciberseguridad.

Sin embargo, muchas de las reclamaciones fueron desestimadas por el Tribunal de Distrito de EE.UU. para el Distrito Sur de Nueva York el 18 de julio, afirmando que "no alegan de manera plausible deficiencias procesables en los informes de la compañía sobre el hackeo de ciberseguridad" y que "se basan inadmisiblemente en la retrospectiva y la especulación".

Fuente: https://thehackernews.com