Share

SolarWinds แก้ไขช่องโหว่ Remote Code Execution ใน Access Rights Manager

Last updated: 19 Sept 2024
26 Views
SolarWinds แก้ไขช่องโหว่ Remote Code Execution ใน Access Rights Manager

สรุปข้อมูล 


SolarWinds ได้ปล่อยอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2024-28991 การเรียกใช้โค้ดจากระยะไกล (RCE) ที่มีความรุนแรงระดับวิกฤตใน SolarWinds Access Rights Manager (ARM) ช่องโหว่นี้เป็นช่องโหว่การ deserialization ของข้อมูลที่ไม่เชื่อถือ ซึ่งทำให้ผู้โจมตีสามารถเลี่ยงการยืนยันตัวตนในระดับสิทธิ์สูงสุดของระบบ SYSTEM ได้ และนอกจากนี้ SolarWinds ยังแก้ไขช่องโหว่ CVE-2024-28990 ซึ่งช่องโหว่นี้ผู้โจมตีสามารถเข้าถึง RabbitMQ management console โดยไม่ต้องยืนยันตัวตน และช่องโหว่ดังกล่าวส่งผลกระทบต่อ Access Rights Manager (ARM) เวอร์ชัน 2024.3 และก่อนหน้านี้

 

รายละเอียดช่องโหว่ 

 

  • ช่องโหว่ CVE-2024-28990 (คะแนน CVSS v3: 6.3) เป็นช่องโหว่ที่มีความรุนแรงระดับ Medium ที่ทำให้ SolarWinds Access Rights Manager (ARM) มีการหลีกเลี่ยงการตรวจสอบข้อมูลประจำตัวแบบฮาร์ดโค้ด ช่องโหว่นี้จะทำให้เข้าถึงคอนโซลการจัดการ RabbitMQ ได้
  • ช่องโหว่ CVE-2024-28991 (คะแนน CVSS v3: 9.0) เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical ที่ทำให้ SolarWinds Access Rights Manager (ARM) เปิดโอกาสให้ผู้ใช้ที่ได้รับการยืนยันตัวตนแล้วสามารถใช้ประโยชน์จากบริการนี้ในการสั่งรันโค้ดจากระยะไกลได้

 

รายละเอียดเชิงเทคนิค 

  1. ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์เพื่อเข้าถึง SolarWinds Access Rights Manager (ARM)
  2. โดยช่องโหว่ใน class JsonSerializationBinder ทำให้ข้อมูลที่ไม่น่าเชื่อถือได้ถูกทำการ deserialization โดยไม่ต้องตรวจสอบ และผู้โจมตีสามารถใช้ข้อมูลนี้ในการเรียกใช้โค้ดที่เป็นอันตราย
  3. เมื่อข้อมูลถูก deserialized โค้ดที่เป็นอันตรายจะถูกเรียกใช้ใน SYSTEM ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมระบบ และดำเนินการจัดการข้อมูลและ Privilege user ได้

 

ผลกระทบจากการโจมตี 

ช่องโหว่ CVE-2024-28991 ใน SolarWinds Access Rights Manager อนุญาตให้ผู้โจมตีข้ามการยืนยันตัวตนและเรียกใช้โค้ดจากระยะไกลในระดับ SYSTEM ได้ และการโจมตีนี้อาจทำให้ผู้ไม่ประสงค์ดีเข้าถึงระบบและควบคุมระบบได้ หากไม่ได้รับการแก้ไขอาจเกิดการโจมตีที่ทำลายความปลอดภัยของข้อมูลและการดำเนินงานในระบบได้

 

คำแนะนำ

  • อัปเดตแพตซ์ล่าสุดของ SolarWinds Access Rights Manager (ARM) 2024.3.1 ซึ่งแก้ไขช่องโหว่นี้แล้วและช่องโหว่อื่น ๆ ที่เกี่ยวข้อง
  • เปิดใช้งานการยืนยันตน MFA และ กำหนดการตั้งค่า password ให้คาดเดายากเพื่อเพิ่มความปลอดภัย
  • การติดตั้ง Endpoint เพื่อตรวจจับและป้องกันไฟล์อันตราย

 

แหล่งอ้างอิง 

hxxps[:]//securityaffairs[.]com/168456/security/solarwinds-fixed-rce-cve-2024-28991[.]html


Related Content
Compare product
0/4
Remove all
Compare