Af Eskil Sørensen, 18/09/24
SolarWinds har udsendt en sikkerhedsopdatering som lukker for udnyttelse af to sårbarheder, hvori den ene er kritisk og kan føre ”remote code execution” med sig.
Det skriver Security Affairs på baggrund af advisories fra SolarWinds.
Sårbarhederne har id’erne CVE-2024-28991 (CVSS-score på 9.0) og CVE-2024-28990 (CVSS-score 6.3). De berørte produkter er SolarWinds Access Rights Manager (ARM) versioner FØR 2024.3.1.
Den kritiske sårbarhed er en såkaldt ”deserialization of untrusted data”, der har nummereringen CWE-502. Hos Mitre.org, der fører en liste over standardbeskrivelser af sårbarheder, den såkaldte Common Weakness Enumeration-liste, forklares det om sårbarhedstypen, at produktet deserialiserer ikke-pålidelige data uden tilstrækkeligt at bekræfte, at de resulterende data vil være gyldige. Denne sårbarhed kan så føre RCE med sig.
Trend Micro Zero Day Initiative, som har beskrevet sårbarheden i en rapport beskriver, at ”..selvom der kræves godkendelse for at udnytte denne sårbarhed, kan den eksisterende godkendelsesmekanisme omgås. Den specifikke fejl findes i JsonSerializationBinder-klassen. Problemet skyldes manglen på korrekt validering af brugerleverede data, hvilket kan resultere i deserialisering af ikke-pålidelige data. En angriber kan udnytte denne sårbarhed til at udføre kode i sammenhæng med SYSTEM."
Det anbefales, at brugere af SolarWinds ARM opdaterer instanser til nyeste version, hvilket vil lukke for muligheden for anvendelse af de beskrevne sårbarheder.
Links:
https://securityaffairs.com/168456/security/solarwinds-fixed-rce-cve-2024-28991.html
https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2024-3-1_release_notes.htm
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28990
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28991