SolarWinds a corrigé huit vulnérabilités critiques dans son logiciel ARM (Access Rights Manager), dont six permettaient aux attaquants d’obtenir l’exécution de code à distance (RCE) sur des appareils vulnérables.
Access Rights Manager est un outil essentiel dans les environnements d’entreprise qui aide les administrateurs à gérer et à auditer les droits d’accès dans l’infrastructure informatique de leur organisation afin de minimiser l’impact des menaces.
Les vulnérabilités RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 et CVE-2024-23470)—toutes notées avec des scores de gravité de 9,6/10—permettent aux attaquants sans privilèges d’effectuer des actions sur des systèmes non corrigés en exécutant du code ou des commandes, avec ou sans privilèges SYSTÈME en fonction de la faille exploitée.
La société a également corrigé trois failles critiques de traversée de répertoires (CVE-2024-23475 et CVE-2024-23472) qui permettent aux utilisateurs non authentifiés d’effectuer une suppression arbitraire de fichiers et d’obtenir des informations sensibles après avoir accédé à des fichiers ou des dossiers en dehors des répertoires restreints.
Il a également corrigé une vulnérabilité de contournement d’authentification de gravité élevée (CVE-2024-23465) qui pouvait permettre à des acteurs malveillants non authentifiés d’obtenir un accès administrateur de domaine dans l’environnement Active Directory.
SolarWinds a corrigé les failles (toutes signalées via l’initiative Zero Day de Trend Micro) dans Access Rights Manager 2024.3, publié mercredi avec des correctifs de bogues et de sécurité.
La société n’a pas encore révélé si des exploits de validation de principe pour ces failles sont disponibles dans la nature ou si l’un d’entre eux a été exploité dans des attaques.
CVE-ID | Titre de la Vulnérabilité |
---|---|
CVE-2024-23469 | SolarWinds ARM Expose une Méthode dangereuse D’Exécution de Code à Distance |
CVE-2024-23466 | Vulnérabilité d’exécution de Code à Distance de Traversée de Répertoire ARM SolarWinds |
CVE-2024-23467 | Vulnérabilité d’exécution de Code à Distance de Traversée de Répertoire ARM SolarWinds |
CVE-2024-28074 | Vulnérabilité d’exécution de Code à Distance de Désérialisation Interne ARM SolarWinds |
CVE-2024-23471 | Vulnérabilité d’exécution de code à distance de Traversée de Répertoire CreateFile ARM SolarWinds |
CVE-2024-23470 | Vulnérabilité RCE de méthode dangereuse exposée par SolarWinds ARM UserScriptHumster |
CVE-2024-23475 | Vulnérabilité de Traversée d’annuaire ARM SolarWinds et de divulgation d’Informations |
CVE-2024-23472 | Suppression Arbitraire de Fichiers et Divulgation d’Informations Lors de la Traversée de Répertoires ARM SolarWinds |
CVE-2024-23465 | Contournement d’authentification de Méthode dangereuse exposé par Humster de Changement de bras SolarWinds |
En février, la société a corrigé cinq autres vulnérabilités RCE dans la solution Access Rights Manager (ARM), dont trois ont été jugées critiques car elles permettaient une exploitation non authentifiée.
Il y a quatre ans, les systèmes internes de SolarWinds ont été piratés par le groupe de piratage russe APT29. Le groupe de menaces a injecté du code malveillant dans les versions de la plate-forme d’administration informatique Orion téléchargées par les clients entre mars 2020 et juin 2020.
Avec plus de 300 000 clients dans le monde à l’époque, SolarWinds desservait 96% des entreprises Fortune 500, y compris des entreprises technologiques de premier plan comme Apple, Google et Amazon, et des organisations gouvernementales comme l’armée américaine, le Pentagone, le Département d’État, la NASA, NSA, Service postal, NOAA, Ministère de la Justice et Bureau du Président des États-Unis.
Cependant, même si les pirates informatiques de l’État russe ont utilisé les mises à jour du cheval de Troie pour déployer la porte dérobée Sunburst sur des milliers de systèmes, ils n’ont ciblé qu’un nombre nettement inférieur de clients Solarwinds pour une exploitation ultérieure.
Après la révélation de l’attaque de la chaîne d’approvisionnement, plusieurs agences gouvernementales américaines ont confirmé que leurs réseaux avaient été piratés lors de la campagne. Il s’agissait notamment des départements d’État, de la Sécurité intérieure, du Trésor et de l’Énergie, ainsi que de la National Telecommunications and Information Administration (NTIA), des National Institutes of Health et de la National Nuclear Security Administration.
En avril 2021, le gouvernement américain a officiellement accusé le Service de renseignement extérieur russe (SVR) d’avoir orchestré l’attaque Solarwinds de 2020, et la Securities and Exchange Commission (SEC) des États-Unis a accusé SolarWinds en octobre 2023 de ne pas avoir informé les investisseurs des problèmes de défense contre la cybersécurité avant le piratage.