SolarWinds corrige errores críticos de RCE

SolarWinds ha parcheado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten la explotación no autenticada.

Access Rights Manager permite a las empresas administrar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.

CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica rastreada como CVE-2023-40057 es causada por la deserialización de datos que no son de confianza.

Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en los sistemas objetivo que no se han parcheado.

Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden usar en ataques RCE y han sido calificados por SolarWinds como problemas de alta gravedad.

Cuatro de las cinco fallas parcheadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Zero Day Initiative (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.

SolarWinds parcheó las fallas en Access Rights Manager 2023.2.3, que se lanzó este jueves con correcciones de errores y seguridad.

La compañía no ha recibido ningún informe de que estas vulnerabilidades estén siendo explotadas en la naturaleza, dijo un portavoz de SolarWinds a BleepingComputer.


"Estas vulnerabilidades fueron reveladas por el equipo de investigación de seguridad de Trend Micro, que colabora con SolarWinds como parte de nuestro programa de divulgación responsable y nuestro compromiso continuo con el desarrollo seguro de software", dijo el portavoz a BleepingComputer.

"Nos hemos puesto en contacto con los clientes para asegurarnos de que pueden tomar las medidas necesarias para abordar estas vulnerabilidades aplicando los parches que hemos lanzado. La divulgación responsable de las vulnerabilidades es clave para mejorar la seguridad dentro de nuestros productos y de la industria en general, y agradecemos a Trend Micro por su asociación".

SolarWinds también corrigió otros tres errores críticos de RCE de Access Rights Manager en octubre, lo que permitió a los atacantes ejecutar código con privilegios SYSTEM.

Ataque a la cadena de suministro de SolarWinds en marzo de 2020

Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Estas versiones troyanizadas facilitaron el despliegue de la puerta trasera Sunburst en miles de sistemas, pero los atacantes se dirigieron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.

Con una clientela que superaba los 300.000 empleados en todo el mundo, SolarWinds prestaba servicios en ese momento al 96% de las empresas de la lista Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el Ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA, la NSA, el Servicio Postal, la NOAA, el Departamento de Justicia y la Oficina del Presidente de los Estados Unidos.

Después de que se revelara el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que fueron violados, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Telecomunicaciones e Información (NTIA), los Institutos Nacionales de Salud y la Administración Nacional de Seguridad Nuclear.

En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque a SolarWinds.

En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles los problemas de defensa de ciberseguridad antes del hackeo de 2020.

Actualización 16 de febrero, 14:31 EST: Se agregó la instrucción SolarWinds.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta