SolarWinds heeft een aantal kritieke beveiligingslekken aangepakt die van invloed waren op de Access Rights Manager (ARM)-software. Deze fouten konden worden misbruikt om toegang te krijgen tot gevoelige informatie of om willekeurige code uit te voeren.
Van de 13 kwetsbaarheden zijn er acht als Kritiek beoordeeld in ernst en hebben een CVSS-score van 9,6 uit 10,0. De overige vijf zwakheden zijn als Hoog beoordeeld in ernst, waarbij vier van hen een CVSS-score van 7,6 hebben en één een score van 8,3.
De ernstigste gebreken worden hieronder vermeld:
- CVE-2024-23472 – SolarWinds ARM Directory Traversal Willekeurige verwijdering van bestanden en kwetsbaarheid voor openbaarmaking van informatie
- CVE-2024-28074 – SolarWinds ARM Interne Deserialisatie Remote Code Uitvoering Kwetsbaarheid
- CVE-2024-23469 – Solarwinds ARM heeft een gevaarlijke methode blootgelegd die kwetsbaar is voor het uitvoeren van code op afstand
- CVE-2024-23475 – Solarwinds ARM Traversal en kwetsbaarheid voor openbaarmaking van informatie
- CVE-2024-23467 – Solarwinds ARM Traversal kwetsbaarheid voor uitvoering van code op afstand
- CVE-2024-23466 – Solarwinds ARM Directory Traversal kwetsbaarheid voor uitvoering van code op afstand
- CVE-2024-23470 – Solarwinds ARM UserScriptHumster heeft een kwetsbaarheid blootgelegd die gevaarlijke methoden voor het uitvoeren van opdrachten op afstand kan detecteren
- CVE-2024-23471 – Solarwinds ARM CreateFile Directory Traversal kwetsbaarheid voor uitvoering van externe code
Als de hierboven genoemde kwetsbaarheden succesvol worden uitgebuit, kan een aanvaller bestanden lezen en verwijderen en code uitvoeren met verhoogde rechten.
De tekortkomingen zijn aangepakt in versie 2024.3, die op 17 juli 2024 is uitgebracht, na verantwoorde openbaarmaking als onderdeel van het Trend Micro Zero Day Initiative (ZDI).
Deze ontwikkeling volgt nadat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een zeer ernstig padtraversallek in SolarWinds Serv-U Path (CVE-2024-28995, CVSS-score: 8,6) aan zijn catalogus met bekende misbruikte kwetsbaarheden (KEV) heeft toegevoegd, na meldingen van actieve exploitatie in het wild.
Het netwerkbeveiligingsbedrijf werd in 2020 het slachtoffer van een grote aanval op de toeleveringsketen nadat het updatemechanisme van het Orion-netwerkbeheerplatform werd gecompromitteerd door Russische APT29-hackers. Deze hackers wilden schadelijke code verspreiden naar downstreamklanten als onderdeel van een spraakmakende cyberespionagecampagne.
De inbreuk was voor de Amerikaanse Securities and Exchange Commission (SEC) aanleiding om in oktober vorig jaar een rechtszaak aan te spannen tegen SolarWinds en haar Chief Information Security Officer (CISO). De SEC beweert dat het bedrijf onvoldoende materiële informatie aan investeerders heeft verstrekt over cyberbeveiligingsrisico’s.
Veel van de claims met betrekking tot de rechtszaak werden echter op 18 juli verworpen door de Amerikaanse districtsrechtbank voor het zuidelijke district van New York (SDNY), met de verklaring dat “deze claims niet aannemelijk wijzen op onrechtmatige tekortkomingen in de rapportage van het bedrijf over de cybersecurityhack” en dat ze “ten onrechte vertrouwen op achterafkennis en speculatie.”