Yakın zamanda yamalanan SolarWinds Web Help Desk (WHD) güvenlik açığı olan CVE-2024-28987 hakkındaki ayrıntılar ve kavram kanıtı (PoC) istismar kodu artık kamuya açık. Bu güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından yardım masası biletinin tüm ayrıntılarını uzaktan okumak ve değiştirmek için kullanılabiliyor.
“Kendi müşterilerimizin maruziyetini değerlendirirken, kuruluşların genellikle kullanıcı katılımı, parola sıfırlamaları ve paylaşılan kaynaklara erişim gibi BT prosedürleri için hassas süreç bilgilerini ifşa ettiğini gördük. Bu güvenlik açığı WHD sunucusunun kendisini tamamen tehlikeye atmaya yol açmasa da, kimlik bilgileri aracılığıyla yanal hareket riskinin yüksek olduğunu gördük,” diyor Horizon3.ai’den Zach Henley, açığı keşfeden ve SolarWinds’e bildiren kişi.
CVE-2024-28987 istismarı riski
CVE-2024-28987, belirli WHD uç noktalarında oluşturma, okuma, güncelleme ve silme işlemleri gerçekleştirmek için kullanılabilen sabit kodlu geliştirici oturum açma kimlik bilgilerinden kaynaklanmaktadır.
Güvenlik açığı bulunan bir sunucuya ait son bilet ayrıntılarını aktarmak için geliştirilen PoC artık GitHub’da mevcut.
CVE-2024-28987 için bir düzeltme bir ay önce yayınlandı.
Henley, SolarWinds Web Help Desk’in internette yaklaşık 827 örneğine ulaşabildiklerini söylüyor. Bazıları güncellenmiş ve artık bu kusur üzerinden saldırıya karşı savunmasız olmasa da, yine de başarılı bir şekilde hedef alınabilecek bazılarının olacağı kesin.
“WHD uygulamasının, internete ve kendi müşteri tabanımıza maruz bırakanların kısa bir incelemesine göre, Eyalet, Yerel ve Eğitim (SLED) pazar segmentinde oldukça popüler olduğu görülüyor” diye belirtti.
Bu, saldırganlar harekete geçip yardım masası biletlerini karıştırmaya başlamadan önce yöneticilerin kurulumlarını güncellemeleri için son çağrı olabilir; özellikle de yakın zamanda düzeltilen bir diğer SolarWinds WHD açığı olan CVE-2024-28986’nın saldırganlar tarafından aktif olarak istismar edilmesi nedeniyle.