Η SolarWinds δημοσίευσε αυτή την εβδομάδα πολλαπλές συμβουλές που περιγράφουν ευπάθειες υψηλής σοβαρότητας που αναμένεται να διορθωθούν με μια ενημέρωση της πλατφόρμας SolarWinds μέχρι τα τέλη Φεβρουαρίου.
Από τα συνολικά επτά ελαττώματα ασφαλείας, τα πέντε περιγράφονται ως αποσειριοποίηση αναξιόπιστων ζητημάτων δεδομένων που θα μπορούσαν να αξιοποιηθούν για την επίτευξη της εκτέλεσης εντολών. Τέσσερα από αυτά έχουν βαθμολογία CVSS 8,8.
Με κωδικούς CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 και CVE-2022-47507, τα υψηλής σοβαρότητας ελαττώματα θα μπορούσαν να επιτρέψουν «σε έναν απομακρυσμένο αντίπαλο με λογαριασμό διαχειριστή Orion να αποκτήσει πρόσβαση στο SolarWinds Web Console και να εκτελέσει αυθαίρετες εντολές», λέει η SolarWinds.
Η SolarWinds θεωρεί το πέμπτο σφάλμα, το οποίο παρακολουθείται ως CVE-2022-38111, ένα μέτριας σοβαρότητας ζήτημα, αν και οι συνέπειες της επιτυχούς εκμετάλλευσης είναι οι ίδιες. Επιπλέον, το ελάττωμα έχει βαθμολογία CVSS 7,2, που το καθιστά «υψηλή σοβαρότητα».
Η εταιρεία ανακοίνωσε επίσης ενημερώσεις κώδικα για μια ευπάθεια διέλευσης διαδρομής υψηλής σοβαρότητας στην πλατφόρμα SolarWinds, η οποία παρακολουθείται ως CVE-2022-47506 (βαθμολογία CVSS 8,8).
“Αυτή η ευπάθεια επιτρέπει σε έναν τοπικό αντίπαλο με πρόσβαση σε έλεγχο ταυτότητας λογαριασμού να επεξεργαστεί την προεπιλεγμένη διαμόρφωση, επιτρέποντας την εκτέλεση αυθαίρετων εντολών”, εξηγεί η εταιρεία.
Το SolarWinds Platform 2023.1, το οποίο αναμένεται να είναι διαθέσιμο μέχρι το τέλος του μήνα, επιλύει όλα τα τρωτά σημεία. Συνιστάται στους πελάτες να ενημερώσουν αυτήν την έκδοση μόλις γίνει διαθέσιμη.
Επιπλέον, η SolarWinds δημοσίευσε πληροφορίες για ένα ζήτημα υψηλής σοβαρότητας με το Server & Application Monitor 2022.4, όπου το Kerberos δεν μπορούσε να χρησιμοποιηθεί με NTLM.
«Οι πελάτες που είχαν ρυθμίσει τις παραμέτρους της δημοσκόπησής τους να πραγματοποιείται μέσω Kerberos δεν περίμεναν την επισκεψιμότητα NTLM στο περιβάλλον τους, αλλά επειδή αναζητούσαμε δεδομένα μέσω διεύθυνσης IP, αυτό μας εμπόδισε να χρησιμοποιήσουμε το Kerberos», λέει η SolarWinds.
Το Hybrid Cloud Observability 2023.1, που είναι προς το παρόν διαθέσιμο ως υποψήφιο για κυκλοφορία, επιλύει αυτό το ελάττωμα.
Η SolarWinds δεν έκανε καμία αναφορά σε καμία από αυτές τις ευπάθειες που εκμεταλλεύονται σε επιθέσεις. Μπορείτε να βρείτε πρόσθετες πληροφορίες για τα σφάλματα στο Σελίδα ασφαλείας προϊόντων της SolarWinds.
