SolarWinds ha solucionado ocho vulnerabilidades críticas en su software Access Rights Manager (ARM), seis de las cuales permitieron a los atacantes obtener ejecución remota de código (RCE) en dispositivos vulnerables.
Access Rights Manager es una herramienta crítica en entornos empresariales que ayuda a los administradores a administrar y auditar los derechos de acceso en toda la infraestructura de TI de su organización para minimizar el impacto de las amenazas.
Las vulnerabilidades RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 y CVE-2024-23470), todas calificadas con puntuaciones de gravedad de 9,6/10, permite que atacantes sin privilegios realicen acciones en sistemas sin parches mediante la ejecución de código o comandos, con o sin privilegios de SYSTEM, según la falla explotada.
La compañía también corrigió tres fallas críticas de recorrido de directorio (CVE-2024-23475 y CVE-2024-23472) que permiten a usuarios no autenticados realizar una eliminación arbitraria de archivos y obtener información confidencial después de acceder a archivos o carpetas fuera de directorios restringidos.
También solucionó una vulnerabilidad de omisión de autenticación de alta gravedad (CVE-2024-23465) que puede permitir que actores maliciosos no autenticados obtengan acceso de administrador de dominio dentro del entorno de Active Directory.
SolarWinds parcheó las fallas (todas reportadas a través de Trend Micro Zero Day Initiative) en Access Rights, lanzado el miércoles con correcciones de errores y seguridad.
La compañía aún tiene que revelar si existen exploits de prueba de concepto para estas fallas disponibles o si alguno de ellos ha sido explotado en ataques.
En febrero, la compañía parcheó otras cinco vulnerabilidades RCE en la solución Access Rights Manager (ARM), tres de las cuales fueron consideradas críticas porque permitían una explotación no autenticada.
Hace cuatro años, los sistemas internos de SolarWinds fueron vulnerados por el grupo de hackers ruso APT29. El grupo de amenazas inyectó código malicioso en las compilaciones de la plataforma de administración de TI de Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.
Fuente: BC