Site icon Kiber.ba

SolarWinds zakrpi 8 kritičnih nedostataka u softveru za upravljanje pravima pristupa

SolarWinds zakrpi 8 kritičnih nedostataka u softveru za upravljanje pravima pristupa-Kiber.ba

SolarWinds zakrpi 8 kritičnih nedostataka u softveru za upravljanje pravima pristupa-Kiber.ba

SolarWinds se pozabavio nizom kritičnih sigurnosnih nedostataka koji utiču na njegov softver Access Rights Manager (ARM) koji bi se mogao iskoristiti za pristup osjetljivim informacijama ili izvršavanje proizvoljnog koda.

Od 13 ranjivosti, osam je ocijenjeno kritičnim po ozbiljnosti i imaju CVSS ocjenu 9,6 od 10,0. Preostalih pet slabosti ocijenjeno je visokom ozbiljnošću, pri čemu četiri od njih imaju CVSS skor 7,6, a jedna 8,3.

Najozbiljniji nedostaci su navedeni u nastavku:

Uspješno iskorištavanje gore navedenih ranjivosti moglo bi omogućiti napadaču da čita i briše datoteke i izvršava kod s povišenim privilegijama.

Nedostaci su otklonjeni u verziji 2024.3 objavljenoj 17. jula 2024., nakon odgovornog otkrivanja u sklopu Trend Micro Zero Day Initiative (ZDI).

Razvoj dolazi nakon što je američka Agencija za cyber i infrastrukturnu sigurnost (CISA) postavila veliku grešku u prelasku putanje u SolarWinds Serv-U Path (CVE-2024-28995, CVSS rezultat: 8,6) u svoj katalog poznatih eksploatiranih ranjivosti (KEV) koji slijedi izvještaji o aktivnoj eksploataciji u divljini.

Kompanija za mrežnu sigurnost bila je žrtva velikog napada na lanac snabdijevanja 2020. godine nakon što su ruski APT29 hakeri kompromitirali mehanizam ažuriranja koji je povezan s njenom platformom za upravljanje mrežom Orion kako bi distribuirali zlonamjerni kod nizvodnim korisnicima u sklopu kampanje cyber špijunaže visokog profila.

Kršenje je navelo američku Komisiju za hartije od vrijednosti (SEC) da podnese tužbu protiv SolarWinds-a i njegovog glavnog službenika za sigurnost informacija (CISO) prošlog oktobra, navodeći da kompanija nije otkrila adekvatne materijalne informacije investitorima u vezi sa rizicima sajber-sigurnosti.

Međutim, veliki dio tvrdnji koje se odnose na tužbu odbacio je američki Okružni sud za južni okrug New Yorka (SDNY) 18. jula, navodeći da se “ne navode vjerodostojne nedostatke u izvještavanju kompanije o haku na cyber sigurnost” i da se “nedopustivo oslanjaju na retrospektiva i spekulacije”.

Izvor:The Hacker News

Exit mobile version