SolarWinds a adressé un ensemble de failles de sécurité critiques affectant son logiciel Access Rights Manager (ARM) qui pourraient être exploitées pour accéder à des informations sensibles ou exécuter du code arbitraire.
Parmi les 13 vulnérabilités, huit sont jugées critiques et ont un score CVSS de 9,6 sur 10,0. Les cinq autres vulnérabilités ont été jugées élevées, quatre d’entre elles ayant un score CVSS de 7,6 et une de 8,3.
Les défauts les plus graves sont énumérés ci-dessous :
- CVE-2024-23472 – Vulnérabilité de suppression arbitraire de fichiers et de divulgation d’informations lors de la traversée de répertoires ARM de SolarWinds
- CVE-2024-28074 – Vulnérabilité d’exécution de code à distance de désérialisation interne ARM de SolarWinds
- CVE-2024-23469 – Solarwinds ARM a exposé une vulnérabilité d’exécution de code à distance dangereuse
- CVE-2024-23475 – Vulnérabilité de traversée et de divulgation d’informations de Solarwinds ARM
- CVE-2024-23467 – Vulnérabilité d’exécution de code à distance de Solarwinds ARM Traversal
- CVE-2024-23466 – Vulnérabilité d’exécution de code à distance lors de la traversée de répertoires ARM de Solarwinds
- CVE-2024-23470 – Solarwinds ARM UserScriptHumster a exposé une vulnérabilité d’exécution de commande à distance de méthode dangereuse
- CVE-2024-23471 – Vulnérabilité d’exécution de code à distance lors de la traversée du répertoire ARM CreateFile de Solarwinds
L’exploitation réussie des vulnérabilités susmentionnées pourrait permettre à un attaquant de lire et de supprimer des fichiers et d’exécuter du code avec des privilèges élevés.
Les lacunes ont été corrigées dans la version 2024.3 publiée le 17 juillet 2024, suite à une divulgation responsable dans le cadre de la Trend Micro Zero Day Initiative (ZDI).
Cette évolution intervient après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a placé une faille de traversée de chemin de haute gravité dans SolarWinds Serv-U Path (CVE-2024-28995, score CVSS : 8,6) dans son catalogue de vulnérabilités exploitées connues (KEV) suite à des rapports d’exploitation active dans la nature.
L’entreprise de sécurité réseau a été victime d’une attaque majeure de la chaîne d’approvisionnement en 2020 après que le mécanisme de mise à jour associé à sa plateforme de gestion de réseau Orion a été compromis par des pirates russes APT29 pour distribuer du code malveillant aux clients en aval dans le cadre d’une campagne de cyberespionnage de grande envergure.
La violation a incité la Securities and Exchange Commission (SEC) des États-Unis à déposer un procès intenté en octobre dernier contre SolarWinds et son responsable de la sécurité des systèmes d’information (CISO), alléguant que la société n’avait pas divulgué suffisamment d’informations importantes aux investisseurs concernant les risques de cybersécurité.
Cependant, une grande partie des réclamations relatives au procès étaient jeté par le tribunal de district américain du district sud de New York le 18 juillet, déclarant que « ces éléments ne plaident pas de manière plausible des lacunes recevables dans le rapport de l’entreprise sur le piratage de cybersécurité » et qu’ils « s’appuient de manière inadmissible sur le recul et la spéculation ».