CISA a adăugat trei vulnerabilități la catalogul său de ‘Vulnerabilități cunoscute exploatate’ (KEV), printre care se află o vulnerabilitate critică legată de credențialele prestabilite în SolarWinds Web Help Desk (WHD) pe care furnizorul a remediat-o la sfârșitul lunii august 2024.
SolarWinds Web Help Desk este o suită de birou de asistență IT folosită de 300.000 de clienți la nivel mondial, inclusiv agenții guvernamentale, corporații mari și organizații din domeniul sănătății.
Vulnerabilitatea SolarWinds este denumită CVE-2024-28987 și este cauzată de credențiale prestabilite, un nume de utilizator ‘helpdeskIntegrationUser’ și o parolă ‘dev-C4F8025E7’. Utilizând aceste credențiale, atacatorii neautentificați de la distanță ar putea accesa potențial punctele terminale WHD și ar putea accesa sau modifica date fără restricții.
SolarWinds a emis o soluție rapidă patru zile după ce a primit un raport de la cercetătorul Horizon3.ai Zach Hanley, care a descoperit problema, îndemnând administratorii de sistem să treacă la WHD 12.8.3 Hotfix 2 sau ulterior.
CISA a adăugat acum vulnerabilitatea în KEV, indicând că este exploatată în atacuri în sălbăticie.
Agenția guvernamentală americană nu a oferit multe detalii despre activitatea malitioasă și a setat starea de exploatare ransomware la necunoscută.
Se așteaptă ca agențiile federale și organizațiile guvernamentale din SUA să actualizeze la o versiune sigură sau să oprească utilizarea produsului până pe 5 noiembrie 2024.
Dat fiind starea activă de exploatare a CVE-2024-28987, se recomandă ca administratorii de sistem să ia măsurile corespunzătoare pentru a securiza mai devreme punctele terminale WDH decât termenul stabilit.
Celelalte două vulnerabilități sunt legate de Windows și Mozilla Firefox, cu ambele vulnerabilități deja cunoscute ca fiind exploatate în atacuri. CISA solicită, de asemenea, agențiilor federale să remedieze aceste vulnerabilități până pe 5 noiembrie.
Vulnerabilitatea Windows este o condiție de cursă Kernel TOCTOU denumită CVE-2024-30088, care a fost descoperită că este exploatată activ de Trend Micro. Firma de securitate cibernetică a atribuit activitatea malitioasă grupului OilRig (APT34), care a exploatat vulnerabilitatea pentru a-și crește privilegiile la nivelul SYSTEM pe dispozitivele compromise.
Microsoft a abordat vulnerabilitatea în pachetul său de marți Patch din iunie 2024, dar nu este clar când a început exploatarea activă.
Vulnerabilitatea Mozilla Firefox CVE-2024-9680 a fost descoperită de cercetătorul ESET Damien Schaeffer pe 8 octombrie 2024 și remediată de Mozilla 25 de ore mai târziu.
Mozilla spune că ESET a furnizat o catenă de atac care ar putea executa cod în mod remot pe dispozitivul unui utilizator prin redarea cronologiei de animație CSS în Firefox.
Deși ESET încă analizează atacul observat, un purtător de cuvânt a declarat pentru BleepingComputer că activitatea malitioasă pare să provină din Rusia și probabil a fost folosită pentru operațiuni de spionaj.
Leave a Reply