CISA, Perşembe günü saldırganların SolarWinds’in müşteri desteği için Web Yardım Masası çözümünde yakın zamanda kapatılan kritik bir güvenlik açığını istismar ettiği konusunda uyardı.
Web Yardım Masası (WHD), dünya çapında büyük şirketler, devlet kurumları, sağlık ve eğitim kuruluşları tarafından yardım masası yönetim görevlerini merkezileştirmek, otomatikleştirmek ve kolaylaştırmak için yaygın olarak kullanılan bir BT yardım masası yazılımıdır.
CVE-2024-28986 olarak takip edilen bu Java deserialization güvenlik açığı, tehdit aktörlerinin savunmasız sunucularda uzaktan kod yürütme yetkisine sahip olmalarına ve başarılı bir istismarın ardından ana makinede komutlar çalıştırmalarına olanak tanıyor.
SolarWinds, CISA’nın uyarısından bir gün önce Çarşamba günü bu güvenlik açığı için bir düzeltme yayınladı. Ancak şirket, tüm yöneticilerin düzeltmeyi güvenlik açığı olan cihazlara uygulamasını önermesine rağmen, vahşi ortamdaki istismar hakkında herhangi bir bilgi açıklamadı.
“Kimliği doğrulanmamış bir güvenlik açığı olarak bildirilmiş olsa da SolarWinds, kapsamlı testlerden sonra kimlik doğrulaması olmadan bunu yeniden üretemedi. Ancak, aşırı bir ihtiyatla, tüm Web Help Desk müşterilerine artık mevcut olan yamayı uygulamalarını öneriyoruz,” dedi SolarWinds.
“SAML Tek Oturum Açma (SSO) kullanılıyorsa WHD 12.8.3 Düzeltme 1 uygulanmamalıdır. Bu sorunu gidermek için yakında yeni bir yama yayınlanacaktır.”
SolarWinds ayrıca, düzeltmeyi uygulama ve kaldırma konusunda ayrıntılı talimatlar içeren bir destek makalesi yayınlayarak, yöneticilerin düzeltmeyi yüklemeden önce güvenlik açığı bulunan sunucuları Web Help Desk 12.8.3.1813 sürümüne yükseltmeleri gerektiği konusunda uyardı.
Şirket, düzeltme dağıtımının başarısız olması veya düzeltmenin doğru şekilde uygulanmaması durumunda olası sorunları önlemek için, kurulum işlemi sırasında orijinal dosyaları değiştirmeden önce yedeklerinin oluşturulmasını öneriyor.
CISA, Perşembe günü ts KEV kataloğuna CVE-2024-28986’yı ekleyerek federal kurumlara, Bağlayıcı Operasyonel Direktif (BOD) 22-01’in gerektirdiği şekilde, 5 Eylül’e kadar üç hafta içinde WHD sunucularını yamalama zorunluluğu getirdi.
SolarWinds, bu yılın başlarında Erişim Hakları Yöneticisi (ARM) yazılımındaki bir düzineden fazla kritik uzaktan kod yürütme (RCE) açığını da düzeltti; sekizi Temmuz ayında, beşi ise Şubat ayındaydı.
Haziran ayında siber güvenlik firması GreyNoise, tehdit aktörlerinin SolarWinds Serv-U yol geçiş güvenlik açığını istismar etmeye başladıkları konusunda uyarıda bulunmuştu. Bu, SolarWinds’in bir düzeltme yayınlamasından sadece iki hafta sonra ve kavram kanıtı (PoC) istismarlarının çevrimiçi olarak yayınlanmasından birkaç gün sonra gerçekleşmişti.
SolarWinds, şirketin BT yönetim ürünlerinin dünya çapında 300 binden fazla müşteri tarafından kullanıldığını söylüyor.