Осем новооткрити уязвимости в инструмента SolarWinds Access Rights Manager Tool (ARM) – включително три, които се считат за критични – могат да отворят вратата за нападателите да получат най-високи нива на привилегии във всички непоправени системи.
Като широка платформа за управление на ИТ SolarWinds заема уникално чувствително място в корпоративните мрежи, както светът научи по трудния начин преди три години. Нейната сила да наблюдава и влияе на критичните компоненти в корпоративната мрежа не е по-добре олицетворена от инструмента ARM, който администраторите използват, за да предоставят, управляват и одитират правата за достъп на потребителите до данни, файлове и системи.
Така че администраторите трябва да обърнат внимание, че в четвъртък инициативата Zero Day Initiative (ZDI) на Trend Micro разкри серия от уязвимости в ARM с оценка „висока“ и „критична“. Както обяснява Дъстин Чайлдс, ръководител на отдела за осъзнаване на заплахите в ZDI: „Най-сериозните от тези грешки биха позволили на отдалечен неаутентифициран нападател да изпълни произволен код на системно ниво. Те биха могли напълно да завладеят засегнатата система. Въпреки че не сме разглеждали възможността за използване, потенциалът на тези уязвимости е толкова лош, колкото е възможно.“
Сериозни проблеми в SolarWinds ARM
Две от осемте уязвимости – CVE-2023-35181 и CVE-2023-35183 – позволяват на неупълномощени потребители да злоупотребяват с локални ресурси и неправилни разрешения за папки, за да извършват локално повишаване на привилегиите. На всяка от тях е присвоена оценка за сериозност „висока“ – 7,8 от 10.
Още няколко – CVE-2023-35180, CVE-2023-35184 и CVE-2023-35186, всички с оценка 8,8 от 10 от Trend Micro – отварят вратата за потребителите да злоупотребят с услуга на SolarWinds или нейния ARM API, за да извършат отдалечено изпълнение на код (RCE).
Най-голямо безпокойство обаче предизвикват друга тройка уязвимости RCE, на които Trend Micro е присъдила „критични“ оценки от 9,8: (От своя страна SolarWinds се разминава с Trend Micro тук, като дава на всички тях оценки 8,8.)
Във всеки от случаите липсата на правилно валидиране на методите createGlobalServerChannelInternal, OpenFile и OpenClientUpdateFile съответно може да позволи на атакуващите да изпълнят произволен код на ниво SYSTEM – най-високото възможно ниво на привилегии в машина с Windows. И за разлика от другите пет грешки, публикувани в четвъртък, тези три не изискват предварителна автентикация за използване.
Новата версия 2023.2.1 на ARM, публикувана в сряда, отстранява всичките осем уязвимости. На клиентите на SolarWinds се препоръчва незабавно да направят пачове.