تقوم شركة SolarWinds بتصحيح 8 عيوب خطيرة في برنامج إدارة حقوق الوصول

19 يوليو 2024غرفة الأخبارالضعف / أمن المؤسسات

لقد قامت شركة SolarWinds بذلك موجهة مجموعة من العيوب الأمنية الخطيرة التي تؤثر على برنامج مدير حقوق الوصول (ARM) الذي يمكن استغلاله للوصول إلى المعلومات الحساسة أو تنفيذ تعليمات برمجية عشوائية.

من بين 13 نقطة ضعف، تم تصنيف ثمانية منها على أنها حرجة من حيث الخطورة وتحمل درجة CVSS تبلغ 9.6 من 10.0. تم تصنيف نقاط الضعف الخمس المتبقية على أنها عالية الخطورة، حيث حصلت أربعة منها على درجة CVSS 7.6 وواحدة على 8.3.

أخطر العيوب مذكورة أدناه –

• CVE-2024-23472 – SolarWinds ARM Directory اجتياز الحذف التعسفي للملفات والثغرة الأمنية للكشف عن المعلومات
• CVE-2024-28074 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد لإلغاء التسلسل الداخلي لـ SolarWinds ARM
• CVE-2024-23469 – كشفت Solarwinds ARM عن ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد
• CVE-2024-23475 – ثغرة أمنية في اجتياز Solarwinds ARM والكشف عن المعلومات
• CVE-2024-23467 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد Solarwinds ARM Traversal
• CVE-2024-23466 – الثغرة الأمنية لتنفيذ التعليمات البرمجية عن بعد لـ Solarwinds ARM Directory Traversal
• CVE-2024-23470 – كشف Solarwinds ARM UserScriptHumster عن ثغرة أمنية خطيرة في تنفيذ الأوامر عن بعد
• CVE-2024-23471 – ثغرة أمنية في Solarwinds ARM CreateFile Directory اجتياز تنفيذ التعليمات البرمجية عن بعد

قد يسمح الاستغلال الناجح للثغرات المذكورة أعلاه للمهاجم بقراءة الملفات وحذفها وتنفيذ التعليمات البرمجية بامتيازات مرتفعة.

تمت معالجة أوجه القصور في الإصدار 2024.3 الذي تم إصداره في 17 يوليو 2024، بعد الكشف المسؤول كجزء من مبادرة Trend Micro Zero Day (ZDI).

يأتي هذا التطوير بعد أن وضعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة شديدة الخطورة في اجتياز المسار في SolarWinds Serv-U Path (CVE-2024-28995، درجة CVSS: 8.6) في كتالوج الثغرات الأمنية المستغلة المعروفة (KEV) الخاص بها بعد ذلك تقارير عن الاستغلال النشط في البرية.

كانت شركة أمن الشبكات ضحية لهجوم كبير على سلسلة التوريد في عام 2020 بعد أن تم اختراق آلية التحديث المرتبطة بمنصة إدارة الشبكة Orion الخاصة بها من قبل قراصنة APT29 الروس لتوزيع تعليمات برمجية ضارة على العملاء النهائيين كجزء من حملة تجسس سيبرانية رفيعة المستوى.

وقد دفع هذا الاختراق هيئة الأوراق المالية والبورصة الأمريكية (SEC) إلى القيام بذلك ملف دعوى قضائية ضد SolarWinds ورئيس أمن المعلومات (CISO) في أكتوبر الماضي تزعم أن الشركة فشلت في الكشف عن معلومات مادية كافية للمستثمرين فيما يتعلق بمخاطر الأمن السيبراني.

ومع ذلك، فإن الكثير من المطالبات المتعلقة بالدعوى كانت مطرود من قبل المحكمة الجزئية الأمريكية للمنطقة الجنوبية من نيويورك في 18 يوليو، مشيرة إلى أن “هذه لا تدافع بشكل معقول عن أوجه القصور القابلة للتنفيذ في تقارير الشركة عن اختراق الأمن السيبراني” وأنها “تعتمد بشكل غير مسموح به على الإدراك المتأخر والتكهنات”.