SolarWinds, Erişim Hakları Yöneticisi (ARM) yazılımındaki sekiz kritik güvenlik açığını düzeltti; bunlardan altısı, saldırganların güvenlik açığı bulunan cihazlarda uzaktan kod yürütme (RCE) elde etmesine olanak tanıyordu.
Erişim Hakları Yöneticisi, yöneticilerin kuruluşlarının BT altyapısı genelinde erişim haklarını yönetmelerine ve denetlemelerine yardımcı olarak tehdit etkisini en aza indirmeye yardımcı olan kurumsal ortamlarda kritik bir araçtır.
RCE güvenlik açıkları (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 ve CVE-2024-23470) (hepsi 10 üzerinden 9,6 şiddet puanına sahip) ayrıcalıklara sahip olmayan saldırganların, istismar edilen kusura bağlı olarak SYSTEM ayrıcalıklarıyla veya ayrıcalıkları olmadan kod veya komutları yürüterek yama uygulanmamış sistemlerde eylem gerçekleştirmesine olanak tanıyor.
Şirket ayrıca kimliği doğrulanmamış kullanıcıların kısıtlı dizinlerin dışındaki dosya veya klasörlere eriştikten sonra keyfi dosya silme işlemi yapmalarına ve hassas bilgileri elde etmelerine olanak tanıyan üç kritik dizin geçiş açığını (CVE-2024-23475 ve CVE-2024-23472) da düzeltti.
Ayrıca, kimliği doğrulanmamış kötü niyetli kişilerin Active Directory ortamında etki alanı yönetici erişimi elde etmesine olanak tanıyan yüksek öneme sahip bir kimlik doğrulama atlama güvenlik açığını (CVE-2024-23465) da düzeltti.
SolarWinds, Çarşamba günü yayınlanan Access Rights Manager 2024.3’teki (tümü Trend Micro’nun Zero Day Initiative’i aracılığıyla bildirilen) kusurları hata ve güvenlik düzeltmeleriyle birlikte düzeltti.
Şirket, bu kusurlara yönelik kavram kanıtı istismarlarının doğada mevcut olup olmadığını veya bunlardan herhangi birinin saldırılarda kullanılıp kullanılmadığını henüz açıklamadı.
| CVE Kimliği | Güvenlik Açığı Başlığı |
|---|---|
| CVE-2024-23469 | SolarWinds ARM Tehlikeli Yöntem Uzaktan Kod Çalıştırma Açığa Çıkarıldı |
| CVE-2024-23466 | SolarWinds ARM Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı |
| CVE-2024-23467 | SolarWinds ARM Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı |
| CVE-2024-28074 | SolarWinds ARM Dahili Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı |
| CVE-2024-23471 | SolarWinds ARM CreateFile Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı |
| CVE-2024-23470 | SolarWinds ARM UserScriptHumster Tehlikeli Yöntem RCE Güvenlik Açığını Açığa Çıkardı |
| CVE-2024-23475 | SolarWinds ARM Dizin Gezinme ve Bilgi Açıklama Güvenlik Açığı |
| CVE-2024-23472 | SolarWinds ARM Dizin Gezinmesi Keyfi Dosya Silme ve Bilgi Açıklaması |
| CVE-2024-23465 | SolarWinds ARM ChangeHumster Tehlikeli Yöntem Kimlik Doğrulama Baypasını Açığa Çıkardı |
Şirket, Şubat ayında Erişim Hakları Yöneticisi (ARM) çözümündeki beş RCE açığını daha düzeltti; bunlardan üçü, kimliği doğrulanmamış istismara izin verdiği için kritik olarak derecelendirildi.
Dört yıl önce, SolarWinds’in dahili sistemleri Rus APT29 hack grubu tarafından ihlal edildi. Tehdit grubu, Mart 2020 ile Haziran 2020 arasında müşteriler tarafından indirilen Orion BT yönetim platformu yapılarına kötü amaçlı kod enjekte etti.
O dönemde dünya çapında 300.000’den fazla müşterisi bulunan SolarWinds, Apple, Google ve Amazon gibi yüksek profilli teknoloji şirketlerinin yanı sıra ABD Ordusu, Pentagon, Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi gibi hükümet kuruluşları da dahil olmak üzere Fortune 500 şirketlerinin %96’sına hizmet veriyordu.
Ancak Rus devlet bilgisayar korsanları, Sunburst arka kapısını binlerce sisteme yerleştirmek için truva atı haline getirilmiş güncellemeleri kullanmış olsalar da, daha fazla istismar için yalnızca çok daha az sayıda Solarwinds müşterisini hedef almışlardır.
Tedarik zinciri saldırısı ifşa edildikten sonra, birden fazla ABD hükümet kurumu kampanyada ağlarının ihlal edildiğini doğruladı. Bunlar arasında Dışişleri, İç Güvenlik, Hazine ve Enerji Bakanlıkları ile Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), Ulusal Sağlık Enstitüleri ve Ulusal Nükleer Güvenlik İdaresi yer aldı.
Nisan 2021’de ABD hükümeti, Rus Dış İstihbarat Servisi’ni (SVR) 2020 Solarwinds saldırısını düzenlemekle resmen suçladı ve ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) Ekim 2023’te SolarWinds’i saldırıdan önce yatırımcıları siber güvenlik savunma sorunları konusunda bilgilendirmediği için suçladı.
