SolarWinds a adress\u00e9<\/a> un ensemble de failles de s\u00e9curit\u00e9 critiques affectant son logiciel Access Rights Manager (ARM) qui pourraient \u00eatre exploit\u00e9es pour acc\u00e9der \u00e0 des informations sensibles ou ex\u00e9cuter du code arbitraire.<\/p>\n Parmi les 13 vuln\u00e9rabilit\u00e9s, huit sont jug\u00e9es critiques et ont un score CVSS de 9,6 sur 10,0. Les cinq autres vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 jug\u00e9es \u00e9lev\u00e9es, quatre d’entre elles ayant un score CVSS de 7,6 et une de 8,3.<\/p>\n Les d\u00e9fauts les plus graves sont \u00e9num\u00e9r\u00e9s ci-dessous\u00a0:<\/p>\n L\u2019exploitation r\u00e9ussie des vuln\u00e9rabilit\u00e9s susmentionn\u00e9es pourrait permettre \u00e0 un attaquant de lire et de supprimer des fichiers et d\u2019ex\u00e9cuter du code avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n Les lacunes ont \u00e9t\u00e9 corrig\u00e9es dans la version 2024.3 publi\u00e9e le 17 juillet 2024, suite \u00e0 une divulgation responsable dans le cadre de la Trend Micro Zero Day Initiative (ZDI).<\/p>\n Cette \u00e9volution intervient apr\u00e8s que l’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a plac\u00e9 une faille de travers\u00e9e de chemin de haute gravit\u00e9 dans SolarWinds Serv-U Path (CVE-2024-28995, score CVSS : 8,6) dans son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV) suite \u00e0 des rapports d’exploitation active dans la nature.<\/p>\n L’entreprise de s\u00e9curit\u00e9 r\u00e9seau a \u00e9t\u00e9 victime d’une attaque majeure de la cha\u00eene d’approvisionnement en 2020 apr\u00e8s que le m\u00e9canisme de mise \u00e0 jour associ\u00e9 \u00e0 sa plateforme de gestion de r\u00e9seau Orion a \u00e9t\u00e9 compromis par des pirates russes APT29 pour distribuer du code malveillant aux clients en aval dans le cadre d’une campagne de cyberespionnage de grande envergure.<\/p>\n La violation a incit\u00e9 la Securities and Exchange Commission (SEC) des \u00c9tats-Unis \u00e0 d\u00e9poser<\/a> un proc\u00e8s intent\u00e9 en octobre dernier contre SolarWinds et son responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (CISO), all\u00e9guant que la soci\u00e9t\u00e9 n’avait pas divulgu\u00e9 suffisamment d’informations importantes aux investisseurs concernant les risques de cybers\u00e9curit\u00e9.<\/p>\n Cependant, une grande partie des r\u00e9clamations relatives au proc\u00e8s \u00e9taient jet\u00e9<\/a> par le tribunal de district am\u00e9ricain du district sud de New York le 18 juillet, d\u00e9clarant que \u00ab ces \u00e9l\u00e9ments ne plaident pas de mani\u00e8re plausible des lacunes recevables dans le rapport de l’entreprise sur le piratage de cybers\u00e9curit\u00e9 \u00bb et qu’ils \u00ab s’appuient de mani\u00e8re inadmissible sur le recul et la sp\u00e9culation \u00bb.<\/p>\n <\/p>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/SolarWinds-corrige-8-failles-critiques-dans-le-logiciel-Access-Rights.png\")
<\/a><\/center><\/section>\n