SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, выпустил обновления для устранения пяти уязвимостей , позволяющих произвести удалённое выполнение кода (RCE) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации.
ARM используется компаниями для управления и аудита прав доступа в их IT-инфраструктурах, что позволяет минимизировать риски, связанные с угрозами со стороны внутренних пользователей.
Две критические уязвимости CVE-2024-23476 и CVE-2024-23479 (оценки по CVSS 9.6) связаны с недостатками обхода пути (Path Traversal), а третья под идентификатором CVE-2023-40057 (оценка по CVSS 9.0) – с небезопасной десериализацией (Deserialization of Untrusted Data). Все три вышеописанных уязвимости могут быть использованы неаутентифицированными атакующими для выполнения кода на целевых системах, которые не были обновлены до безопасной версии ПО.
Ещё две уязвимости под идентификаторами CVE-2024-23477 и CVE-2024-23478 (7.9 и 8.0 баллов по CVSS) также могут быть использованы для RCE-атак и классифицируются как проблемы высокой степени опасности.
Все уязвимости были обнаружены независимыми исследователями в рамках инициативы Zero Day Initiative (” data-html=”true” data-original-title=”ZDI” >ZDI) от компании Trend Micro.
Обновление Access Rights Manager 2023.2.3, выпущенное 15 февраля , включает исправления всех пяти уязвимостей, перечисленных выше, а также дополнительные улучшения безопасности. Представитель SolarWinds сообщил, что компания не получала сообщений о реальной эксплуатации этих уязвимостей в “дикой природе”.
Разработчики отработали без претензий, быстро закрыв критические недостатки безопасности в своём продукте, за что SolarWinds можно только похвалить. А вот за что компанию похвалить нельзя, так это за то, что ей свойственна политика полуправды , в чём комиссия по ценным бумагам и биржам США (SEC) обвиняла SolarWinds в октябре прошлого года.