SolarWinds, Erişim Hakları Yöneticisi (ARM) çözümünde, kimlik doğrulamasız kullanıma izin veren üç kritik önemdeki güvenlik açığı da dahil olmak üzere beş uzaktan kod yürütme (RCE) kusurunu yamaladı.
Erişim Hakları Yöneticisi, şirketlerin içeriden gelen tehditlerin etkisini en aza indirmek ve daha fazlasını yapmak için BT altyapılarındaki erişim haklarını yönetmelerine ve denetlemelerine olanak tanır.
CVE-2024-23476 ve CVE-2024-23479, yol geçişindeki zayıflıklardan kaynaklanırken, CVE-2023-40057 olarak takip edilen üçüncü kritik kusur, güvenilmeyen verilerin seri durumdan çıkarılmasından kaynaklanmaktadır.
Kimliği doğrulanmamış saldırganlar, yama yapılmadan bırakılan hedeflenen sistemlerde kod yürütmek için üçünden de yararlanabilir.
Diğer iki hata (CVE-2024-23477 ve CVE-2024-23478) RCE saldırılarında da kullanılabilir ve SolarWinds tarafından yüksek önem derecesine sahip sorunlar olarak derecelendirilmiştir.
Bu hafta SolarWinds tarafından yamalanan beş kusurdan dördü, Trend Micro’nun Sıfır Gün Girişimi (ZDI) ile çalışan anonim araştırmacılar tarafından bulunup rapor edildi; beşincisi ise ZDI güvenlik açığı araştırmacısı Piotr Bazydło tarafından keşfedildi.
SolarWinds, bu Perşembe günü yayınlanan Access Rights Manager 2023.2.3’teki kusurları hata ve güvenlik düzeltmeleriyle kapattı.
Şirket, yama yapılmadan önce bu güvenlik açıklarından herhangi birinin saldırılarda kullanılıp kullanılmadığını henüz paylaşmadı ve güvenlik önerilerini SolarWinds’in güven merkezinde bulunan genel listeye ekledi.
SolarWinds ayrıca Ekim ayında diğer üç kritik Erişim Hakları Yöneticisi RCE hatasını da düzelterek saldırganların SYSTEM ayrıcalıklarıyla kod çalıştırmasına olanak sağladı.
| CVE Kimliği | Güvenlik Açığı Başlığı | Şiddet |
|---|---|---|
| CVE-2023-40057 | SolarWinds ARM Güvenilmeyen Verilerin Seriden Çıkarılması Uzaktan Kod Yürütme | 9.0 Kritik |
| CVE-2024-23476 | SolarWinds Erişim Hakları Yöneticisi Dizin Geçişi Uzaktan Kod Yürütme | 9.6 Kritik |
| CVE-2024-23477 | SolarWinds Erişim Hakları Yöneticisi Dizin Geçişi Uzaktan Kod Yürütme | 7,9 Yüksek |
| CVE-2024-23478 | SolarWinds ARM Güvenilmeyen Verilerin Seriden Çıkarılması Uzaktan Kod Yürütme | 8,0 Yüksek |
| CVE-2024-23479 | SolarWinds Erişim Hakları Yöneticisi Dizin Geçişi Uzaktan Kod Yürütme | 9.6 Kritik |
Mart 2020 SolarWinds tedarik zinciri saldırısı
Dört yıl önce, Rus APT29 bilgisayar korsanlığı grubu SolarWinds’in dahili sistemlerine sızarak Mart 2020 ile Haziran 2020 arasında müşteriler tarafından indirilen SolarWinds Orion BT yönetim platformu yapılarına kötü amaçlı kod enjekte etti.
Bu truva atı haline getirilmiş yapılar, Sunburst arka kapısının binlerce sisteme konuşlandırılmasını kolaylaştırdı, ancak saldırganlar daha fazla istismar için seçici olarak çok daha az sayıda kuruluşu hedef aldı.
Dünya çapında 300.000’i aşan müşteri sayısıyla SolarWinds, o zamanlar Apple, Google ve Amazon gibi yüksek profilli şirketlerin yanı sıra ABD Ordusu, Pentagon, Dışişleri Bakanlığı, NASA, NSA gibi devlet kurumları da dahil olmak üzere Fortune 500 şirketlerinin %96’sına hizmet veriyordu. , Posta Servisi, NOAA, Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi.
Tedarik zinciri saldırısının açığa çıkmasının ardından, aralarında Dışişleri, İç Güvenlik, Hazine ve Enerji Bakanlıklarının yanı sıra Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), Ulusal Sağlık Enstitüleri de bulunan çok sayıda ABD devlet kurumu ihlallerin gerçekleştirildiğini doğruladı. ve Ulusal Nükleer Güvenlik İdaresi.
Nisan 2021’de Amerika Birleşik Devletleri hükümeti, Rusya Dış İstihbarat Servisi’ni (SVR) SolarWinds siber saldırısını düzenlemekle resmen suçladı.
Ekim ayında, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds’i, 2020 saldırısından önce siber güvenlik savunma sorunları hakkında bilgilendirmediği iddiasıyla yatırımcıları dolandırmakla suçlamıştı.