9.9 по CVSS: уязвимость в SolarWinds ARM бьёт по безопасности компаний

Как ведущие поставщики программного обеспечения могли допустить столь грубый просчёт?


jzlil5kauwt7mf8hmgi4xxhm992jw6db.jpg


Компания SolarWinds выпустила обновления для устранения двух уязвимостей в своём программном обеспечении Access Rights Manager (ARM), одна из которых классифицирована как критическая. Уязвимость, получившая идентификатор CVE-2024-28991, получила оценку 9.0 из 10 возможных по системе CVSS и связана с некорректной десериализацией данных, что может привести к удалённому выполнению кода ( RCE ).

В опубликованном SolarWinds уведомлении говорится, что данная уязвимость позволяет аутентифицированному пользователю злоупотреблять сервисом, что открывает возможность удалённого выполнения произвольного кода. Проблема была обнаружена исследователем безопасности Пиотром Базыдло. Он сообщил о ней через программу Zero Day Initiative ( ZDI ) 24 мая 2024 года.

Примечательно, что специалисты ZDI присвоили уязвимости более высокую оценку — 9.9 по CVSS. Как отмечается, проблема возникает из-за недостаточной проверки данных, предоставляемых пользователем, что делает устройства ARM уязвимыми к десериализации и, как следствие, ведёт к выполнению произвольного кода. Несмотря на необходимость аутентификации для эксплуатации уязвимости, ZDI подчёркивает, что текущий механизм аутентификации возможно обойти.

Помимо CVE-2024-28991, SolarWinds также устранила уязвимость средней степени опасности ( CVE-2024-28990 ) с оценкой 6.3 по CVSS, которая связана с использованием жёстко заданных учётных данных. Это могло позволить злоумышленникам получить несанкционированный доступ к консоли управления RabbitMQ.

Обе проблемы были исправлены в версии ARM 2024.3.1. Пока не зафиксировано случаев активной эксплуатации уязвимостей, но пользователям рекомендуется как можно скорее обновить программное обеспечение для защиты от возможных угроз.

В прошлом месяце SolarWinds также устранила две критические проблемы в другом своём программном обеспечении — Web Help Desk (WHD). Уязвимость CVE-2024-28987 (CVSS: 9.1) позволяла удалённым неаутентифицированным пользователям получить несанкционированный доступ к уязвимым экземплярам системы, в то время как CVE-2024-28986 (CVSS: 9.8) могла использоваться для выполнения произвольного кода.

Как можно в очередной раз убедиться, даже признанные лидеры индустрии могут допускать серьёзные ошибки в своём ПО, потенциально подвергая риску целые организации. Своевременное обновление программного обеспечения — это не просто рекомендация, а критически важная необходимость, позволяющая защититься от постоянно эволюционирующих цифровых угроз.