Daha önce duyurulduğu gibi, SolarWinds çeşitli güvenlik açıkları için yamalar yayınladı. Şirket, Orion yönetici düzeyinde hesap erişimine sahip uzak bir düşmanın keyfi komutları yürütmesine izin verebilecek dört yüksek önem dereceli kusur belirledi.
Bu güvenlik açıkları CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 ve CVE-2022-47507 olarak izleniyor.
Bu güvenlik açıklarından başarıyla yararlanılırsa, saldırganların etkilenen sistemlerde uzaktan veya yerel olarak rasgele komutlar yürütmesine izin verebilir.
Şirket, bu güvenlik açıklarının vahşi ortamda istismar edildiğine dair herhangi bir vakayı henüz bildirmedi.
Beagle Security Kıdemli Siber Güvenlik Mühendisi Manindar Mohan, The Cyber Express’e “SolarWinds, müşterilerine bu güvenlik açıklarını azaltmak için kullanılabilir olur olmaz SolarWinds Platform 2023.1’e güncelleme yapmalarını tavsiye ediyor” dedi.
“Ayrıca SolarWinds, Hibrit Bulut Gözlemlenebilirliği 2023.1 sürüm adayında çözülen Sunucu ve Uygulama İzleyicisi 2022.4 ile Kerberos’un NTLM ile kullanımını engelleyen yüksek önem düzeyine sahip bir sorunu da açıkladı.”
SolarWinds, güvenlik açıkları ve en son yamalar
İşte en son lotta yayınlanan yamalar:
CVE-2023-23836: SolarWinds Ağ Performansı İzleyicisi’ndeki bu güvenlik açığı, uzaktaki saldırganların rasgele kod yürütmesine izin verebilir. Ancak, bu güvenlik açığından yararlanmak için kimlik doğrulama gereklidir.
Güvenlik açığı özellikle CredentialInitializer işleviyle ilgilidir. Sorun, kullanıcılar tarafından sağlanan verilerin yetersiz doğrulanmasından kaynaklanır ve bu da güvenilir olmayan verilerin serileştirilmesine yol açabilir. Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
CVE-2022-47507: Bu güvenlik açığı, SolarWinds Ağ Performansı İzleyici’yi etkileyerek uzaktaki saldırganların rasgele kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gereklidir.
Güvenlik açığı, WorkerProcessWCFProxy işlevinde bulunur. Sorun, kullanıcılar tarafından sağlanan verilerin yetersiz doğrulanmasından kaynaklanır ve bu da güvenilir olmayan verilerin serileştirilmesine yol açabilir. Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
CVE-2022-47506: SolarWinds Ağ Performansı İzleyicisi’ndeki bu güvenlik açığı, uzaktaki saldırganların etkilenen kurulumlarda rasgele kod yürütmesine olanak tanır. Ürün yapılandırmasına bağlı olarak, bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekebilir.
Güvenlik açığı özellikle sshd_SftpRename işleviyle ilgilidir. Sorun, dosya işlemlerinde kullanılmadan önce kullanıcı tarafından sağlanan yolun yeterince doğrulanmamasından kaynaklanır. Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
CVE-2022-38111: SolarWinds Orion Platform’daki bu güvenlik açığı, uzaktaki saldırganların etkilenen kurulumlarda rasgele kod yürütmesine olanak tanır. Ancak, bu güvenlik açığından yararlanmak için kimlik doğrulaması gereklidir.
Güvenlik açığı özellikle BytesToMessage işleviyle ilgilidir. Sorun, kullanıcılar tarafından sağlanan verilerin yetersiz doğrulanmasından kaynaklanır ve bu da güvenilir olmayan verilerin serileştirilmesine yol açabilir. Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
CVE-2022-47504: SolarWinds Ağ Performansı İzleyicisi’ndeki bu güvenlik açığı, uzaktaki saldırganların etkilenen kurulumlarda rasgele kod yürütmesine olanak tanır. Ancak, bu güvenlik açığından yararlanmak için kimlik doğrulaması gereklidir.
Güvenlik açığı özellikle SqlFileScript işleviyle ilgilidir. Sorun, kullanıcılar tarafından sağlanan verilerin yetersiz doğrulanmasından kaynaklanır ve bu da güvenilir olmayan verilerin serileştirilmesine yol açabilir. Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
SolarWinds ve güvenlik açığı riskleri
Beagle Security’den Manindar Mohan, The Cyber Express’e verdiği demeçte, bu güvenlik açıklarından yararlanmanın neden olabileceği potansiyel zararların, bunlardan ne ölçüde başarıyla yararlanıldıklarına bağlı olduğunu söyledi.
“Etkinin ciddiyeti, saldırganın hedeflerine ve bu güvenlik açıklarından yararlanarak elde edebileceği erişim düzeyine bağlı olacaktır. Genel olarak, etkilenen kullanıcıların istismar riskini azaltmak için sistemlerini mümkün olan en kısa sürede güncellemeleri önerilir.”
Ancak hiçbir şey şirkete yönelik 2020 siber saldırısıyla karşılaştırılamaz dedi.
“Bu saldırı, planlaması ve yürütmesi aylar süren son derece sofistike ve koordineli bir saldırıydı.”
SolarWinds, müşterilerini yama çıkar çıkmaz 2023.1 sürümüne yükseltmeye çağırdı. Ek olarak, müşterilerin platforma yalnızca yetkili kullanıcıların erişebilmesini sağlamak için SolarWinds Güvenli Yapılandırma Kılavuzuna başvurmaları önerilir.
“SolarWinds Platformu web sitenizi halka açık internette ifşa etmemeye dikkat edin. Şirketin yama bildiriminde, SolarWinds sunucularından giden internet erişimini etkinleştirmeniz gerekiyorsa, katı bir izin verilenler listesi oluşturun ve diğer tüm trafiği engelleyin” yazıyordu.