Last updated: 19 Sept 2024
26 Views
สรุปข้อมูล
SolarWinds ได้ปล่อยอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2024-28991 การเรียกใช้โค้ดจากระยะไกล (RCE) ที่มีความรุนแรงระดับวิกฤตใน SolarWinds Access Rights Manager (ARM) ช่องโหว่นี้เป็นช่องโหว่การ deserialization ของข้อมูลที่ไม่เชื่อถือ ซึ่งทำให้ผู้โจมตีสามารถเลี่ยงการยืนยันตัวตนในระดับสิทธิ์สูงสุดของระบบ SYSTEM ได้ และนอกจากนี้ SolarWinds ยังแก้ไขช่องโหว่ CVE-2024-28990 ซึ่งช่องโหว่นี้ผู้โจมตีสามารถเข้าถึง RabbitMQ management console โดยไม่ต้องยืนยันตัวตน และช่องโหว่ดังกล่าวส่งผลกระทบต่อ Access Rights Manager (ARM) เวอร์ชัน 2024.3 และก่อนหน้านี้
รายละเอียดช่องโหว่
- ช่องโหว่ CVE-2024-28990 (คะแนน CVSS v3: 6.3) เป็นช่องโหว่ที่มีความรุนแรงระดับ Medium ที่ทำให้ SolarWinds Access Rights Manager (ARM) มีการหลีกเลี่ยงการตรวจสอบข้อมูลประจำตัวแบบฮาร์ดโค้ด ช่องโหว่นี้จะทำให้เข้าถึงคอนโซลการจัดการ RabbitMQ ได้
- ช่องโหว่ CVE-2024-28991 (คะแนน CVSS v3: 9.0) เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical ที่ทำให้ SolarWinds Access Rights Manager (ARM) เปิดโอกาสให้ผู้ใช้ที่ได้รับการยืนยันตัวตนแล้วสามารถใช้ประโยชน์จากบริการนี้ในการสั่งรันโค้ดจากระยะไกลได้
รายละเอียดเชิงเทคนิค
- ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์เพื่อเข้าถึง SolarWinds Access Rights Manager (ARM)
- โดยช่องโหว่ใน class JsonSerializationBinder ทำให้ข้อมูลที่ไม่น่าเชื่อถือได้ถูกทำการ deserialization โดยไม่ต้องตรวจสอบ และผู้โจมตีสามารถใช้ข้อมูลนี้ในการเรียกใช้โค้ดที่เป็นอันตราย
- เมื่อข้อมูลถูก deserialized โค้ดที่เป็นอันตรายจะถูกเรียกใช้ใน SYSTEM ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมระบบ และดำเนินการจัดการข้อมูลและ Privilege user ได้
ผลกระทบจากการโจมตี
ช่องโหว่ CVE-2024-28991 ใน SolarWinds Access Rights Manager อนุญาตให้ผู้โจมตีข้ามการยืนยันตัวตนและเรียกใช้โค้ดจากระยะไกลในระดับ SYSTEM ได้ และการโจมตีนี้อาจทำให้ผู้ไม่ประสงค์ดีเข้าถึงระบบและควบคุมระบบได้ หากไม่ได้รับการแก้ไขอาจเกิดการโจมตีที่ทำลายความปลอดภัยของข้อมูลและการดำเนินงานในระบบได้
คำแนะนำ
- อัปเดตแพตซ์ล่าสุดของ SolarWinds Access Rights Manager (ARM) 2024.3.1 ซึ่งแก้ไขช่องโหว่นี้แล้วและช่องโหว่อื่น ๆ ที่เกี่ยวข้อง
- เปิดใช้งานการยืนยันตน MFA และ กำหนดการตั้งค่า password ให้คาดเดายากเพื่อเพิ่มความปลอดภัย
- การติดตั้ง Endpoint เพื่อตรวจจับและป้องกันไฟล์อันตราย
แหล่งอ้างอิง
hxxps[:]//securityaffairs[.]com/168456/security/solarwinds-fixed-rce-cve-2024-28991[.]html