SolarWinds’in ele alinan Hassas bilgilere erişmek veya keyfi kod çalıştırmak için istismar edilebilecek, Erişim Hakları Yöneticisi (ARM) yazılımını etkileyen bir dizi kritik güvenlik açığı.
13 zafiyetin sekizi ciddiyet açısından Kritik olarak derecelendirilmiş ve 10.0 üzerinden 9.6 CVSS puanına sahip. Geriye kalan beş zafiyet ciddiyet açısından Yüksek olarak derecelendirilmiş, bunlardan dördünün CVSS puanı 7.6 ve birinin puanı 8.3.
En ciddi kusurlar aşağıda listelenmiştir –
- CVE-2024-23472 – SolarWinds ARM Dizin Gezinme Keyfi Dosya Silme ve Bilgi Açıklama Güvenlik Açığı
- CVE-2024-28074 – SolarWinds ARM Dahili Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23469 – Solarwinds ARM Tehlikeli Yöntem Uzaktan Kod Yürütme Güvenlik Açığını Açığa Çıkardı
- CVE-2024-23475 – Solarwinds ARM Geçiş ve Bilgi Açıklama Güvenlik Açığı
- CVE-2024-23467 – Solarwinds ARM Traversal Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23466 – Solarwinds ARM Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23470 – Solarwinds ARM UserScriptHumster Tehlikeli Yöntem Uzaktan Komut Yürütme Güvenlik Açığını Açığa Çıkardı
- CVE-2024-23471 – Solarwinds ARM CreateFile Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı
Yukarıda belirtilen güvenlik açıklarının başarılı bir şekilde istismar edilmesi, bir saldırganın yüksek ayrıcalıklara sahip dosyaları okumasına, silmesine ve kod çalıştırmasına olanak tanıyabilir.
Trend Micro Zero Day Initiative (ZDI) kapsamında sorumlu bir şekilde yapılan açıklamanın ardından 17 Temmuz 2024 tarihinde yayınlanan 2024.3 sürümünde eksiklikler giderildi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), yaygın olarak kullanılan SolarWinds Serv-U Yolu’nda (CVE-2024-28995, CVSS puanı: 8,6) aktif bir şekilde istismar edildiğine dair raporların ardından, yüksek önem derecesine sahip bir yol geçiş açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesinin ardından geldi.
Ağ güvenlik şirketi, 2020 yılında Orion ağ yönetim platformuyla ilişkili güncelleme mekanizmasının, yüksek profilli bir siber casusluk kampanyasının parçası olarak alt müşterilere kötü amaçlı kod dağıtmak amacıyla Rus APT29 bilgisayar korsanları tarafından tehlikeye atılmasının ardından büyük bir tedarik zinciri saldırısının kurbanı oldu.
Bu ihlal, ABD Menkul Kıymetler ve Borsa Komisyonu’nu (SEC) harekete geçirdi dosya SolarWinds ve şirketin baş bilgi güvenliği sorumlusuna (CISO) karşı geçen Ekim ayında şirketin yatırımcılara siber güvenlik riskleri konusunda yeterli önemli bilgi vermediği iddiasıyla açılan bir dava vardı.
Ancak davaya ilişkin iddiaların çoğu atılmış ABD New York Güney Bölgesi Bölge Mahkemesi’nin (SDNY) 18 Temmuz’da verdiği kararda, “bunlar şirketin siber güvenlik saldırısına ilişkin raporlamasındaki dava edilebilir eksiklikleri makul bir şekilde ileri sürmüyor” ve “izin verilemez bir şekilde geriye dönük değerlendirmelere ve spekülasyonlara dayanıyor” denildi.