SolarWinds solucionó ocho vulnerabilidades críticas en su software Access Rights Manager (ARM), seis de las cuales permitieron a los atacantes ejecutar código remoto (RCE) en dispositivos vulnerables.
Access Rights Manager es una herramienta esencial en entornos empresariales que ayuda a los administradores a gestionar y auditar los derechos de acceso en toda la infraestructura de TI de su organización para minimizar el impacto de las amenazas.
Vulnerabilidades RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 y CVE-2024-23470), todas calificadas con una puntuación de gravedad de 9,6 /10, permite a atacantes sin privilegios realizar acciones en sistemas sin parches mediante la ejecución de código o comandos, con o sin privilegios de SISTEMA, según la falla explotada.
La compañía también solucionó tres vulnerabilidades críticas de cruce de directorios (CVE-2024-23475 y CVE-2024-23472) que permiten a usuarios no autenticados realizar una eliminación arbitraria de archivos y obtener información confidencial después de acceder a archivos o carpetas fuera de directorios restringidos.
También solucionó una vulnerabilidad de omisión de autenticación de alta gravedad (CVE-2024-23465) que podría permitir a actores de amenazas no autenticados obtener acceso de administrador de dominio en el entorno de Active Directory.
Vientos solares corregido vulnerabilidades (todas reportadas a través de la Iniciativa Día Cero de Trend Micro) en Administrador de derechos de acceso 2024.3lanzado el miércoles con correcciones de errores y seguridad.
La compañía aún no ha revelado si existen exploits de prueba de concepto para estas fallas disponibles o si alguno de ellos ha sido explotado en ataques.
| ID CVE | Título de vulnerabilidad |
|---|---|
| CVE-2024-23469 | Método de ejecución remota de código peligroso expuesto en SolarWinds ARM |
| CVE-2024-23466 | Vulnerabilidad de ejecución remota de código transversal de directorio ARM de SolarWinds |
| CVE-2024-23467 | Vulnerabilidad de ejecución remota de código transversal de directorio ARM de SolarWinds |
| CVE-2024-28074 | Vulnerabilidad de ejecución remota de código de deserialización interna de SolarWinds ARM |
| CVE-2024-23471 | Vulnerabilidad de ejecución remota de código del directorio CreateFile de SolarWinds ARM |
| CVE-2024-23470 | SolarWinds ARM UserScriptHumster expuso una peligrosa vulnerabilidad del método RCE |
| CVE-2024-23475 | Vulnerabilidad de divulgación de información y cruce de directorio ARM de SolarWinds |
| CVE-2024-23472 | Eliminación arbitraria de archivos y divulgación de información al atravesar directorios ARM de SolarWinds |
| CVE-2024-23465 | SolarWinds ARM ChangeHumster reveló una omisión de autenticación de método peligroso |
En febrero, la empresa solucionó cinco vulnerabilidades RCE más en la solución Access Rights Manager (ARM), tres de las cuales se consideraron críticas porque permitían una explotación no autenticada.
Hace cuatro años, los sistemas internos de SolarWinds fueron pirateados por el grupo de hackers ruso APT29. El grupo de piratas informáticos inyectó código malicioso en versiones de la plataforma de administración de TI Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.
Con Más de 300.000 clientes en todo el mundo. En ese momento, SolarWinds brindaba servicios al 96% de las empresas Fortune 500, incluidas empresas de tecnología líderes como Apple, Google y Amazon, así como a organizaciones gubernamentales como el ejército de los EE. UU., el Pentágono, el Departamento de Estado, la NASA, la NSA, el Servicio Postal, NOAA, Departamento de Justicia y Oficina del Presidente de los Estados Unidos.
Sin embargo, aunque los piratas informáticos estatales rusos utilizaron las actualizaciones troyanizadas para implementar la puerta trasera Sunburst en miles de sistemas, solo apuntaron a un número significativamente menor de clientes de Solarwinds para su posterior explotación.
Después de que se reveló el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que sus redes habían sido pirateadas como parte de la campaña. Entre ellos se encontraban los ministerios de Estado, Seguridad interna, Tesoreríay energía, así como Administración Nacional de Telecomunicaciones e Información (NTIA), la Institutos Nacionales de Saludy la Administración Nacional de Seguridad Nuclear.
En abril de 2021, el gobierno de EE. UU. acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ataque a Solarwinds de 2020, y la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds en octubre de 2023 de no informar a los inversores sobre cuestiones de defensa de la ciberseguridad antes de la cortar a tajos.
