9.9 по CVSS: уязвимость в SolarWinds ARM бьёт по безопасности компаний
Как ведущие поставщики программного обеспечения могли допустить столь грубый просчёт?
Компания SolarWinds выпустила обновления для устранения двух уязвимостей в своём программном обеспечении Access Rights Manager (ARM), одна из которых классифицирована как критическая. Уязвимость, получившая идентификатор CVE-2024-28991, получила оценку 9.0 из 10 возможных по системе CVSS и связана с некорректной десериализацией данных, что может привести к удалённому выполнению кода (RCE).
В опубликованном SolarWinds уведомлении говорится, что данная уязвимость позволяет аутентифицированному пользователю злоупотреблять сервисом, что открывает возможность удалённого выполнения произвольного кода. Проблема была обнаружена исследователем безопасности Пиотром Базыдло. Он сообщил о ней через программу Zero Day Initiative (ZDI) 24 мая 2024 года.
Примечательно, что специалисты ZDI присвоили уязвимости более высокую оценку — 9.9 по CVSS. Как отмечается, проблема возникает из-за недостаточной проверки данных, предоставляемых пользователем, что делает устройства ARM уязвимыми к десериализации и, как следствие, ведёт к выполнению произвольного кода. Несмотря на необходимость аутентификации для эксплуатации уязвимости, ZDI подчёркивает, что текущий механизм аутентификации возможно обойти.
Помимо CVE-2024-28991, SolarWinds также устранила уязвимость средней степени опасности ( CVE-2024-28990 ) с оценкой 6.3 по CVSS, которая связана с использованием жёстко заданных учётных данных. Это могло позволить злоумышленникам получить несанкционированный доступ к консоли управления RabbitMQ.
Обе проблемы были исправлены в версии ARM 2024.3.1. Пока не зафиксировано случаев активной эксплуатации уязвимостей, но пользователям рекомендуется как можно скорее обновить программное обеспечение для защиты от возможных угроз.
В прошлом месяце SolarWinds также устранила две критические проблемы в другом своём программном обеспечении — Web Help Desk (WHD). Уязвимость CVE-2024-28987 (CVSS: 9.1) позволяла удалённым неаутентифицированным пользователям получить несанкционированный доступ к уязвимым экземплярам системы, в то время как CVE-2024-28986 (CVSS: 9.8) могла использоваться для выполнения произвольного кода.
Как можно в очередной раз убедиться, даже признанные лидеры индустрии могут допускать серьёзные ошибки в своём ПО, потенциально подвергая риску целые организации. Своевременное обновление программного обеспечения — это не просто рекомендация, а критически важная необходимость, позволяющая защититься от постоянно эволюционирующих цифровых угроз.