SolarWinds tiene dirigido un conjunto de fallas de seguridad críticas que afectan a su software Access Rights Manager (ARM) y que podrían explotarse para acceder a información confidencial o ejecutar código arbitrario.
De las 13 vulnerabilidades, ocho tienen una gravedad crítica y una puntuación CVSS de 9,6 sobre 10,0. Las cinco debilidades restantes tienen una gravedad alta, cuatro de ellas con una puntuación CVSS de 7,6 y una con una puntuación de 8,3.
Los defectos más graves se enumeran a continuación:
- CVE-2024-23472 – Vulnerabilidad de divulgación de información y eliminación arbitraria de archivos en directorios ARM de SolarWinds
- CVE-2024-28074 – Vulnerabilidad de ejecución remota de código de deserialización interna ARM de SolarWinds
- CVE-2024-23469 – Solarwinds ARM expuso una vulnerabilidad de ejecución remota de código mediante un método peligroso
- CVE-2024-23475 – Vulnerabilidad de divulgación de información y travesía ARM de Solarwinds
- CVE-2024-23467 – Vulnerabilidad de ejecución remota de código transversal ARM en Solarwinds
- CVE-2024-23466 – Vulnerabilidad de ejecución remota de código en directorios ARM de Solarwinds
- CVE-2024-23470 – UserScriptHumster de Solarwinds ARM expuso una vulnerabilidad de ejecución remota de comandos mediante un método peligroso
- CVE-2024-23471 – Vulnerabilidad de ejecución remota de código en directorio CreateFile de Solarwinds ARM
La explotación exitosa de las vulnerabilidades mencionadas anteriormente podría permitir a un atacante leer y eliminar archivos y ejecutar código con privilegios elevados.
Las deficiencias se han solucionado en la versión 2024.3, publicada el 17 de julio de 2024, tras la divulgación responsable como parte de la Iniciativa Zero Day de Trend Micro (ZDI).
El desarrollo se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) colocara una falla de travesía de ruta de alta gravedad en SolarWinds Serv-U Path (CVE-2024-28995, puntaje CVSS: 8.6) en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) luego de informes de explotación activa en la naturaleza.
La empresa de seguridad de redes fue víctima de un importante ataque a la cadena de suministro en 2020 después de que el mecanismo de actualización asociado con su plataforma de gestión de red Orion fuera comprometido por piratas informáticos rusos APT29 para distribuir código malicioso a clientes posteriores como parte de una campaña de espionaje cibernético de alto perfil.
La violación llevó a la Comisión de Bolsa y Valores de Estados Unidos (SEC) a archivo una demanda contra SolarWinds y su director de seguridad de la información (CISO) en octubre pasado alegando que la empresa no reveló información material adecuada a los inversores sobre los riesgos de ciberseguridad.
Sin embargo, gran parte de las reclamaciones relativas a la demanda fueron… expulsado por el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York el 18 de julio, declarando que «estos no alegan de manera plausible deficiencias procesables en el informe de la compañía sobre el ataque cibernético» y que «se basan inadmisiblemente en la retrospectiva y la especulación».