A tymczasem w SolarWinds…

Są w IT firmy i rozwiązania definiowane poprzez incydenty cyberbezpieczeństwa. Mimo że technicznie sprawne, posiadające dużą liczbę klientów, zawsze będą nam się kojarzyły ze słowami takimi jak afera, wypadek lub włamanie. I mimo tego, że łatają dosłownie wszyscy, kiedy słyszymy pewne nazwy, automatycznie myślimy: „Znowu oni”! I dzisiaj piszemy o takim właśnie przypadku. Omówimy dwie luki o wysokim stopniu ważności załatane niedawno w platformie SolarWinds. Podatności mogą doprowadzić do wykonania polecenia i eskalacji uprawnień.

Autor: Kapitan Hack Data dodania: 2 maj 2023 07:51 3 min czytania

Poważniejszym z tych dwóch problemów jest CVE-2022-36963 (wynik CVSS 8,8), który został opisany jako błąd wstrzykiwania poleceń w rozwiązaniu SolarWinds do monitorowania i zarządzania infrastrukturą.

Firma wyjaśnia, że luka może zostać użyta zdalnie do wykonywania dowolnych poleceń. Pomyślne wykorzystanie luki wymaga, aby osoba atakująca posiadała poświadczenia ważnego konta administratora platformy SolarWinds.

Drugi poważny problem, śledzony jako CVE-2022-47505 (wynik CVSS 7,8), został opisany jako usterka związana z eskalacją uprawnień lokalnych.

„Ta luka umożliwia lokalnemu przeciwnikowi z ważnym kontem użytkownika systemu eskalację lokalnych uprawnień” – wyjaśnia SolarWinds.

Oba problemy zostały zgłoszone przez badaczy Trend Micro Zero Day Initiative i oba zostały rozwiązane wraz z wydaniem platformy SolarWinds w wersji 2023.2.

Ta wersja oprogramowania rozwiązuje również problem CVE-2022-47509, podatności w zabezpieczeniach związanej z nieprawidłową neutralizacją danych wejściowych – luki o średniej wadze, którą można wykorzystać zdalnie, aby dołączyć parametry adresu URL w celu wstrzyknięcia kodu HTML. Do wykorzystania problemu wymagane jest ważne konto.

SolarWinds rozwiązał również dwa błędy średniej wagi w Database Performance Analyzer, jeden prowadzący do ujawnienia poufnych informacji, a drugi umożliwiający użytkownikom wyliczanie różnych folderów na serwerze. Database Performance Analyzer w wersji 2023.2 eliminuje obie luki.

SolarWinds nie wspomina o wykorzystaniu w atakach żadnej z tych luk. Dodatkowe szczegóły na temat błędów można znaleźć na ich stronie z poradnikami bezpieczeństwa.

Poprzednia duża aktualizacja w SolarWinds była w lutym. Dotyczyła siedmiu luk w zabezpieczeniach, z których pięć opisano jako problemy z deserializacją niezaufanych danych, które można wykorzystać do wykonania polecenia. Cztery z nich miały wynik CVSS 8,8.

Śledzone jako CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 i CVE-2022-47507 luki o dużej wadze mogą pozwolić „zdalnemu przeciwnikowi z dostępem administratora Orion do konsoli internetowej SolarWinds wykonywać dowolne polecenia”, podało w lutym SolarWinds.

Firma uważa piąty błąd, który jest śledzony jako CVE-2022-38111, za problem o średniej wadze, chociaż konsekwencje udanej eksploatacji są takie same. Ponadto luka ma ocenę CVSS 7,2, co oznacza, że jest „wysoce istotna”.

Reszta błędów jest mniej istotna.

Na Kapitanie Hacku o SolarWinds pisaliśmy wielokrotnie. Głównie były to doniesienia związane z największym jak dotąd atakiem na łańcuch dostaw. Niemniej jesteśmy przekonani, że co jak co, ale administratorzy właśnie tego systemu łatki instalują szybciej, niż w F1 techniczni zmieniają opony.