SolarWinds a corrigé huit vulnérabilités critiques dans son logiciel Access Rights Manager (ARM), dont six permettaient aux attaquants d'exécuter du code à distance (RCE) sur des appareils vulnérables.
Access Rights Manager est un outil essentiel dans les environnements d'entreprise qui aide les administrateurs à gérer et à auditer les droits d'accès sur l'infrastructure informatique de leur organisation afin de minimiser l'impact des menaces.
Les vulnérabilités RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 et CVE-2024-23470), toutes évaluées avec un score de gravité de 9,6/10, permettent aux attaquants sans privilèges d'effectuer des actions sur des systèmes non corrigés en exécutant du code ou des commandes, avec ou sans privilèges SYSTEM selon la faille exploitée.
La société a également corrigé trois failles critiques de traversée de répertoire (CVE-2024-23475 et CVE-2024-23472) qui permettent aux utilisateurs non authentifiés d'effectuer une suppression arbitraire de fichiers et d'obtenir des informations sensibles après avoir accédé à des fichiers ou des dossiers en dehors des répertoires restreints.
Il a également corrigé une vulnérabilité de contournement d’authentification de haute gravité (CVE-2024-23465) qui peut permettre à des acteurs malveillants non authentifiés d’obtenir un accès administrateur de domaine dans l’environnement Active Directory.
Vents solaires corrigé les failles (toutes signalées via la Zero Day Initiative de Trend Micro) dans Gestionnaire des droits d'accès 2024.3publié mercredi avec des correctifs de bugs et de sécurité.
La société n'a pas encore révélé si des exploits de preuve de concept pour ces failles sont disponibles dans la nature ou si l'un d'entre eux a été exploité dans des attaques.
| ID CVE | Titre de la vulnérabilité |
|---|---|
| CVE-2024-23469 | SolarWinds ARM a exposé une méthode dangereuse d'exécution de code à distance |
| CVE-2024-23466 | Vulnérabilité d'exécution de code à distance de SolarWinds ARM Directory Traversal |
| CVE-2024-23467 | Vulnérabilité d'exécution de code à distance de SolarWinds ARM Directory Traversal |
| CVE-2024-28074 | Vulnérabilité d'exécution de code à distance de désérialisation interne ARM de SolarWinds |
| CVE-2024-23471 | Vulnérabilité d'exécution de code à distance dans le répertoire CreateFile de SolarWinds ARM |
| CVE-2024-23470 | SolarWinds ARM UserScriptHumster a exposé une vulnérabilité dangereuse de méthode RCE |
| CVE-2024-23475 | Vulnérabilité de traversée de répertoire et de divulgation d'informations de SolarWinds ARM |
| CVE-2024-23472 | Suppression arbitraire de fichiers et divulgation d'informations lors de la traversée de répertoires ARM de SolarWinds |
| CVE-2024-23465 | SolarWinds ARM ChangeHumster a révélé un contournement dangereux de l'authentification par méthode |
En février, la société a corrigé cinq autres vulnérabilités RCE dans la solution Access Rights Manager (ARM), dont trois ont été jugées critiques car elles permettaient une exploitation non authentifiée.
Il y a quatre ans, les systèmes internes de SolarWinds ont été piratés par le groupe de pirates informatiques russe APT29. Le groupe de pirates a injecté du code malveillant dans les versions de la plateforme d'administration informatique Orion téléchargées par les clients entre mars 2020 et juin 2020.
Avec plus de 300 000 clients dans le monde À l'époque, SolarWinds fournissait ses services à 96 % des entreprises du Fortune 500, y compris des sociétés technologiques de premier plan comme Apple, Google et Amazon, ainsi qu'à des organisations gouvernementales comme l'armée américaine, le Pentagone, le département d'État, la NASA, la NSA, le service postal, la NOAA, le ministère de la Justice et le bureau du président des États-Unis.
Cependant, même si les pirates informatiques de l’État russe ont utilisé les mises à jour trojanisées pour déployer la porte dérobée Sunburst sur des milliers de systèmes, ils n’ont ciblé qu’un nombre nettement plus restreint de clients Solarwinds pour une exploitation ultérieure.
Après la révélation de l'attaque de la chaîne d'approvisionnement, plusieurs agences gouvernementales américaines ont confirmé que leurs réseaux avaient été piratés dans le cadre de la campagne. Il s'agissait notamment des ministères de État, La sécurité intérieure, Trésorerieet l'énergie, ainsi que la Administration nationale des télécommunications et de l'information (NTIA), le Instituts nationaux de la santéet la National Nuclear Security Administration.
En avril 2021, le gouvernement américain a officiellement accusé le service de renseignement extérieur russe (SVR) d'avoir orchestré l'attaque Solarwinds de 2020, et la Securities and Exchange Commission (SEC) américaine a accusé SolarWinds en octobre 2023 de ne pas avoir informé les investisseurs des problèmes de défense en matière de cybersécurité avant le piratage.
