SolarWinds a publié des correctifs pour corriger deux failles de sécurité dans son logiciel Access Rights Manager (ARM), notamment une vulnérabilité critique pouvant entraîner l’exécution de code à distance.
La vulnérabilité, suivie comme CVE-2024-28991est noté 9,0 sur un maximum de 10,0 sur le système de notation CVSS. Il a été décrit comme un exemple de désérialisation de données non fiables.
« Il a été découvert que SolarWinds Access Rights Manager (ARM) était vulnérable à une vulnérabilité d’exécution de code à distance », a déclaré la société dit dans un avis. « Si elle était exploitée, cette vulnérabilité permettrait à un utilisateur authentifié d’abuser du service, entraînant l’exécution de code à distance. »
Le chercheur en sécurité Piotr Bazydlo de Trend Micro Zero Day Initiative (ZDI) a été crédité de la découverte et du signalement de la faille le 24 mai 2024.
Le ZDI, qui a attribué à cette lacune un score CVSS de 9,9, a déclaré qu’elle existe dans un classe appelé JsonSerializationBinder et provient d’un manque de validation appropriée des données fournies par l’utilisateur, exposant ainsi les appareils ARM à une vulnérabilité de désérialisation qui pourrait ensuite être exploitée pour exécuter du code arbitraire.
« Bien que l’authentification soit nécessaire pour exploiter cette vulnérabilité, le mécanisme d’authentification existant peut être contourné », a déclaré le ZDI. dit.
SolarWinds a également corrigé une faille de gravité moyenne dans ARM (CVE-2024-28990Score CVSS : 6,3) qui a exposé un identifiant codé en dur qui, s’il était exploité avec succès, pourrait permettre un accès non autorisé à la console de gestion RabbitMQ.
Les deux problèmes ont été corrigés dans Version ARM 2024.3.1Bien qu’il n’existe actuellement aucune preuve d’exploitation active des vulnérabilités, il est recommandé aux utilisateurs de mettre à jour vers la dernière version dès que possible pour se protéger contre les menaces potentielles.
Ce développement intervient alors que D-Link a résolu trois vulnérabilités critiques affectant les routeurs DIR-X4860, DIR-X5460 et COVR-X1870 (CVE-2024-45694, CVE-2024-45695 et CVE-2024-45697, scores CVSS : 9,8) qui pourraient permettre l’exécution à distance de code arbitraire et de commandes système.