CISA a averti jeudi que les attaquants exploitaient une vulnérabilité critique récemment corrigée dans la solution d’assistance Web de SolarWinds pour le support client.
Web Help Desk (WHD) est un logiciel d’assistance informatique largement utilisé par les grandes entreprises, les agences gouvernementales et les organisations de santé et d’éducation du monde entier pour centraliser, automatiser et rationaliser les tâches de gestion du service d’assistance.
Répertoriée sous le numéro CVE-2024-28986, cette faille de sécurité de désérialisation Java permet aux acteurs de la menace d’obtenir l’exécution de code à distance sur des serveurs vulnérables et d’exécuter des commandes sur la machine hôte après une exploitation réussie.
SolarWinds a publié un correctif pour la vulnérabilité mercredi, un jour avant l’avertissement de CISA. Cependant, la société n’a divulgué aucune information sur l’exploitation sauvage, bien qu’elle ait recommandé à tous les administrateurs d’appliquer le correctif aux appareils vulnérables.
« Bien qu’il ait été signalé comme une vulnérabilité non authentifiée, SolarWinds n’a pas été en mesure de la reproduire sans authentification après des tests approfondis. Cependant, par prudence, nous recommandons à tous les clients du service d’assistance Web d’appliquer le correctif, qui est maintenant disponible », a déclaré SolarWinds.
« WHD 12.8.3 Hotfix 1 ne doit pas être appliqué si l’authentification unique SAML (SSO) est utilisée. Un nouveau correctif sera bientôt disponible pour résoudre ce problème. »
SolarWinds a également publié un article d’assistance contenant des instructions détaillées sur l’application et la suppression du correctif, avertissant que les administrateurs doivent mettre à niveau les serveurs vulnérables vers le service d’assistance Web 12.8.3.1813 avant d’installer le correctif.
La société recommande de créer des sauvegardes des fichiers d’origine avant de les remplacer pendant le processus d’installation pour éviter d’éventuels problèmes si le déploiement du correctif échoue ou si le correctif n’est pas appliqué correctement.
CISA a ajouté CVE-2024-28986 à son catalogue ts KEV jeudi, obligeant les agences fédérales à patcher leurs serveurs WHD dans les trois semaines, jusqu’au 5 septembre, comme l’exige la Directive opérationnelle contraignante (BOD) 22-01.
Plus tôt cette année, SolarWinds a également corrigé plus d’une douzaine de failles critiques d’exécution de code à distance (RCE) dans son logiciel ARM (Access Rights Manager), huit en juillet et cinq en février.
En juin, la société de cybersécurité GreyNoise a averti que les acteurs de la menace exploitaient déjà une vulnérabilité de traversée de chemin SolarWinds Serv-U, deux semaines seulement après la publication d’un correctif par SolarWinds et quelques jours après la publication en ligne d’exploits de preuve de concept (PoC).
SolarWinds affirme que les produits de gestion informatique de l’entreprise sont utilisés par plus de 300 000 clients dans le monde entier.