SolarWinds, hassas bilgilere erişmek veya keyfi kod çalıştırmak için istismar edilebilecek Erişim Hakları Yöneticisi (ARM) yazılımını etkileyen bir dizi kritik güvenlik açığını giderdi.
11 zafiyetin yedisi ciddiyet açısından Kritik olarak derecelendirilmiştir ve 10.0 üzerinden 9.6 CVSS puanına sahiptir. Geriye kalan dört zafiyet ciddiyet açısından Yüksek olarak derecelendirilmiştir ve her birinin CVSS puanı 7.6’dır.
En ciddi kusurlar aşağıda listelenmiştir –
- CVE-2024-23472 – SolarWinds ARM Dizin Gezinme Keyfi Dosya Silme ve Bilgi Açıklama Güvenlik Açığı
- CVE-2024-28074 – SolarWinds ARM Dahili Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23469 – Solarwinds ARM Tehlikeli Yöntem Uzaktan Kod Yürütme Güvenlik Açığını Açığa Çıkardı
- CVE-2024-23475 – Solarwinds ARM Geçiş ve Bilgi Açıklama Güvenlik Açığı
- CVE-2024-23467 – Solarwinds ARM Traversal Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23466 – Solarwinds ARM Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-23471 – Solarwinds ARM CreateFile Dizin Gezinme Uzaktan Kod Yürütme Güvenlik Açığı
Yukarıda belirtilen güvenlik açıklarının başarılı bir şekilde istismar edilmesi, bir saldırganın yüksek ayrıcalıklara sahip dosyaları okumasına, silmesine ve kod çalıştırmasına olanak tanıyabilir.
Trend Micro Zero Day Initiative (ZDI) kapsamında sorumlu bir şekilde yapılan açıklamanın ardından 17 Temmuz 2024 tarihinde yayınlanan 2024.3 sürümünde eksiklikler giderildi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), yaygın olarak kullanılan SolarWinds Serv-U Yolu’nda (CVE-2024-28995, CVSS puanı: 8,6) aktif bir şekilde istismar edildiğine dair raporların ardından, yüksek önem derecesine sahip bir yol geçiş açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesinin ardından geldi.
Ağ güvenlik şirketi, 2020 yılında Orion ağ yönetim platformuyla ilişkili güncelleme mekanizmasının, yüksek profilli bir siber casusluk kampanyasının parçası olarak alt müşterilere kötü amaçlı kod dağıtmak amacıyla Rus APT29 bilgisayar korsanları tarafından tehlikeye atılmasının ardından büyük bir tedarik zinciri saldırısının kurbanı oldu.
Bu ihlal, ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) geçen Ekim ayında SolarWinds ve şirketin baş bilgi güvenliği sorumlusuna (CISO) karşı, şirketin yatırımcılara siber güvenlik riskleri konusunda yeterli önemli bilgi vermediği iddiasıyla dava açmasına neden oldu.
Ancak davaya ilişkin iddiaların çoğu, 18 Temmuz’da New York Güney Bölgesi ABD Bölge Mahkemesi tarafından “bunların şirketin siber güvenlik saldırısına ilişkin raporlamasındaki dava edilebilir eksiklikleri makul bir şekilde savunmadığı” ve “izin verilemez bir şekilde geriye dönük değerlendirmeye ve spekülasyona dayandığı” belirtilerek reddedildi.