Tilkynnt var um nokkra alvarlega veikleika í Access Rights Manager (ARM) hjá SolarWinds. Þrír þeirra eru metnir sem mjög alvarlegir (e. critical) en ekki er vitað til þess að verið sé að misnota veikleikana [1,2]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
CVE-2023-40057
Veikleikinn er með CVSSv3 veikleikastig upp á 9.0 og gefur fjartengdum og auðkenndum ógnaraðila færi á að misnota SolarWinds þjónustur sem getur leitt til keyrslu á kóða (e. remote code execution) [3].
CVE-2024-23476, CVE-2024-23479
Veikleikarnir eru með CVSSv3 veikleikastig upp á 9.6 og gefa fjartengdum og óauðkenndum ógnaraðila færi á að misnota flökkun á milli skráarsafna (e. directory traversal) sem getur leitt til keyrslu á kóða [4,5]. Auk þessara fundust tveir aðrir alvarlegir (e. high) veikleikar sem er hægt að misnota í sama tilgangi [6,7].
Eftirfarandi kerfi er veikt fyrir göllunum:
SolarWinds Access Rights Manager (ARM): < 2023.2.3
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum:
SolarWinds Access Rights Manager (ARM): 2023.2.3
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bugs-in-access-rights-audit-solution/
[2] https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2023-2-3_release_notes.htm
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-40057
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-23476
[5] https://nvd.nist.gov/vuln/detail/CVE-2024-23479
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-23477
[7] https://nvd.nist.gov/vuln/detail/CVE-2024-23478