SolarWinds a corrigé cinq failles d’exécution de code à distance (RCE) dans sa solution Access Rights Manager (ARM), dont trois vulnérabilités de gravité critique qui permettent une exploitation non authentifiée.

Access Rights Manager permet aux entreprises de gérer et d’auditer les droits d’accès sur l’ensemble de leur infrastructure informatique afin de minimiser l’impact des menaces internes et plus encore.

CVE-2024-23476 et CVE-2024-23479 sont dus à des faiblesses de traversée de chemin, tandis que la troisième faille critique identifiée comme CVE-2023-40057 est causée par la désérialisation de données non fiables.

Les attaquants non authentifiés peuvent exploiter les trois pour obtenir l’exécution de code sur des systèmes ciblés non corrigés.

Les deux autres bogues (CVE-2024-23477 et CVE-2024-23478) peuvent également être utilisés dans les attaques RCE et ont été classés par SolarWinds comme des problèmes de gravité élevée.

Quatre des cinq failles corrigées par SolarWinds cette semaine ont été découvertes et signalées par des chercheurs anonymes travaillant avec Zero Day Initiative (ZDI) de Trend Micro, la cinquième ayant été découverte par le chercheur en vulnérabilité de ZDI Piotr Bazydło.

SolarWinds a corrigé les failles dans Access Rights Manager 2023.2.3, qui a été publié ce jeudi avec des correctifs de bogues et de sécurité.

La société n’a pas encore indiqué si l’une de ces vulnérabilités avait été exploitée dans des attaques avant d’appliquer des correctifs et d’ajouter les avis de sécurité à la liste publique disponible sur le centre de gestion de la confidentialité de SolarWinds.

SolarWinds a également corrigé trois autres bogues critiques du Gestionnaire de droits d’accès RCE en octobre, permettant aux attaquants d’exécuter du code avec des privilèges SYSTÈME.

Mars 2020 Attaque de la chaîne d’approvisionnement SolarWinds
Il y a quatre ans, le groupe de piratage russe APT29 a infiltré les systèmes internes de SolarWinds, injectant du code malveillant dans les versions de la plate-forme d’administration informatique SolarWinds Orion téléchargées par les clients entre mars 2020 et juin 2020.

Ces versions de chevaux de Troie ont facilité le déploiement de la porte dérobée Sunburst sur des milliers de systèmes, mais les attaquants ont ciblé de manière sélective un nombre nettement inférieur d’organisations pour une exploitation ultérieure.

Avec une clientèle dépassant les 300 000 clients dans le monde entier, SolarWinds desservait à l’époque 96% des entreprises Fortune 500, y compris des entreprises de premier plan comme Apple, Google et Amazon, ainsi que des organisations gouvernementales comme l’armée américaine, le Pentagone, le Département d’État, la NASA, NSA, Service postal, NOAA, Ministère de la Justice et Bureau du Président des États-Unis.

Après la révélation de l’attaque de la chaîne d’approvisionnement, plusieurs agences gouvernementales américaines ont confirmé qu’elles avaient été violées, notamment les départements d’État, de la sécurité intérieure, du Trésor et de l’Énergie, ainsi que la National Telecommunications and Information Administration (NTIA), les National Institutes of Health et la National Nuclear Security Administration.

En avril 2021, le gouvernement des États-Unis a formellement accusé le Service de renseignement extérieur russe (SVR) d’avoir orchestré la cyberattaque SolarWinds.

En octobre, la Securities and Exchange Commission (SEC) des États-Unis a accusé SolarWinds d’avoir fraudé les investisseurs en ne les informant prétendument pas des problèmes de défense de la cybersécurité avant le piratage de 2020.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *