SolarWinds, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığı da dahil olmak üzere Erişim Hakları Yöneticisi (ARM) yazılımındaki iki güvenlik açığını gidermek için düzeltmeler yayınladı.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-28991CVSS puanlama sisteminde 10.0 üzerinden 9.0 olarak derecelendirilmiştir. Güvenilmeyen verilerin seri hale getirilmesinin bir örneği olarak tanımlanmıştır.
Şirket bir duyuruda, “SolarWinds Access Rights Manager’ın (ARM) uzaktan kod yürütme açığına karşı hassas olduğu bulundu” dedi. “Bu açık istismar edilirse, kimliği doğrulanmış bir kullanıcının hizmeti kötüye kullanmasına ve uzaktan kod yürütülmesine neden olabilir.”
Trend Micro Zero Day Initiative’den (ZDI) güvenlik araştırmacısı Piotr Bazydlo, açığı 24 Mayıs 2024’te keşfedip bildiren kişi olarak tanınıyor.
Eksikliğe 9.9 CVSS puanı atayan ZDI, bunun JsonSerializationBinder adlı bir sınıf içinde bulunduğunu ve kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklandığını, böylece ARM cihazlarını, daha sonra keyfi kod çalıştırmak için kötüye kullanılabilecek bir serileştirme açığına maruz bıraktığını söyledi.
ZDI, “Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekse de mevcut kimlik doğrulama mekanizması aşılabilir” dedi.
SolarWinds ayrıca ARM’deki orta şiddetteki bir açığı (CVE-2024-28990, CVSS puanı: 6,3) ele aldı. Bu açık, başarılı bir şekilde istismar edildiğinde RabbitMQ yönetim konsoluna yetkisiz erişime izin verebilecek sabit kodlanmış bir kimlik bilgisini açığa çıkardı.
Her iki sorun da ARM sürüm 2024.3.1’de düzeltildi. Şu anda güvenlik açıklarının aktif olarak kullanıldığına dair bir kanıt olmasa da, kullanıcıların olası tehditlere karşı korunmak için en kısa sürede en son sürüme güncellemeleri önerilir.
Bu gelişme, D-Link’in DIR-X4860, DIR-X5460 ve COVR-X1870 yönlendiricilerini etkileyen üç kritik güvenlik açığını (CVE-2024-45694, CVE-2024-45695 ve CVE-2024-45697, CVSS puanları: 9,8) çözmesinin ardından geldi. Bu açıklar, keyfi kod ve sistem komutlarının uzaktan yürütülmesine olanak tanıyabilir.