CISA a avertizat joi că atacatorii exploatează o vulnerabilitate critică recent remediată în soluția SolarWinds’ Web Help Desk pentru suportul clienților.
Web Help Desk (WHD) este un software pentru biroul de asistență IT folosit pe scară largă de corporații mari, agenții guvernamentale și organizații din domeniul sănătății și educației din întreaga lume pentru a centraliza, automatiza și eficientiza sarcinile de management ale biroului de asistență.
Identificată ca CVE-2024-28986, această defecțiune de securitate a deserializării Java permite actorilor de amenințare să obțină execuție de cod la distanță pe serverele vulnerabile și să ruleze comenzi pe mașina gazdă după exploatarea cu succes.
SolarWinds a emis o corecție rapidă pentru vulnerabilitate miercuri, cu o zi înainte de avertismentul CISA. Cu toate acestea, compania nu a dezvăluit nicio informație despre exploatarea în sălbăticie, deși a recomandat tuturor administratorilor să aplice remedierea dispozitivelor vulnerabile.
„Deși a fost raportată ca o vulnerabilitate neautentificată, SolarWinds nu a putut să o reproducă fără autentificare după teste riguroase. Cu toate acestea, dintr-o precauție excesivă, recomandăm tuturor clienților Web Help Desk să aplice patch-ul, care este acum disponibil,” a declarat SolarWinds.
„WHD 12.8.3 Hotfix 1 nu ar trebui aplicat dacă este utilizat SAML Single Sign-On (SSO). Un nou patch va fi disponibil în curând pentru a rezolva această problemă.”
SolarWinds a publicat, de asemenea, un articol de suport cu instrucțiuni detaliate privind aplicarea și eliminarea corecției rapide, avertizând că administratorii trebuie să actualizeze serverele vulnerabile la Web Help Desk 12.8.3.1813 înainte de a instala corecția rapidă.
Compania recomandă crearea unor copii de rezervă ale fișierelor originale înainte de a le înlocui în timpul procesului de instalare pentru a evita problemele potențiale în cazul în care implementarea corecției rapide eșuează sau corecția rapidă nu este aplicată corect.
CISA a adăugat CVE-2024-28986 în catalogul său KEV joi, obligând agențiile federale să-și actualizeze serverele WHD în termen de trei săptămâni, până la 5 septembrie, așa cum este cerut de Directiva Operațională de Conectare (BOD) 22-01.
Mai devreme în acest an, SolarWinds a remediat, de asemenea, peste o duzină de defecte critice de execuție de cod la distanță (RCE) în software-ul său Access Rights Manager (ARM), opt în iulie și cinci în februarie.
În iunie, firma de securitate cibernetică GreyNoise a avertizat că actorii de amenințare exploatau deja o vulnerabilitate de traversare a căilor Serv-U de la SolarWinds, doar două săptămâni după ce SolarWinds a lansat o corecție rapidă și zile după ce au fost publicate exploatații de concept (PoC) online.
SolarWinds afirmă că produsele sale de management IT sunt folosite de peste 300.000 de clienți la nivel mondial.
Vulnerabilitatea critică de execuție de cod în progres a RCE WhatsUp acum sub exploatare activă
SolarWinds remediază 8 bug-uri critice în software-ul de auditare a drepturilor de acces
CISA avertizează că vulnerabilitatea critică de execuție de cod RCE a Geoserver GeoTools este exploatată în atacuri
Defectul RCE în biblioteca Ghostscript larg utilizată este acum exploatat în atacuri
Exploatarea zero-click a defectului RCE Windows TCP/IP afectează toate sistemele cu IPv6 activat, aplicați acum patch-ul
Leave a Reply