Parche de SolarWinds: Los fallos críticos de ARM se solucionan antes de los exploits
SolarWinds ha solucionado recientemente 8 vulnerabilidades críticas relacionadas con su software Access Rights Manager (ARM). Este parche de SolarWinds ha sido publicado antes de que los fallos de seguridad de SolarWinds fueran explotados en la naturaleza. En este artículo, nos centraremos en lo que implica ese parche y cuáles habrían sido las consecuencias si se hubieran explotado las vulnerabilidades.
Parche de SolarWinds: Se descubren fallos críticos en ARM
SolarWinds ARM es un software que las organizaciones pueden utilizar para crear informes personalizados de Active Directory (AD) y Azure AD. Los datos contenidos en estos informes se pueden utilizar para identificar qué usuario tiene acceso a qué recursos y cuándo se accedió a los datos.
SolarWinds ha solucionado recientemente un conjunto de vulnerabilidades de seguridad críticas que podrían haber convertido el software en un activo primordial para los actores de amenazas. Los informes de prensa han afirmado que, de haberse explotado estas vulnerabilidades, habrían facilitado el acceso no autorizado a información sensible o la ejecución de código arbitrario.
Las 8 vulnerabilidades que cubre el parche de SolarWinds tienen actualmente una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 9,6 sobre 10. Los detalles relativos a cada uno de estos fallos de seguridad de SolarWinds se mencionan a continuación:
CVE-ID | Título de la vulnerabilidad |
CVE-2024-23472 | SolarWinds ARM Directory Traversal Arbitrary File Deletion and Information Disclosure Vulnerability (Vulnerabilidad de eliminación arbitraria de archivos y divulgación de información) |
CVE-2024-28074 | SolarWinds ARM Deserialización interna Vulnerabilidad de ejecución remota de código |
CVE-2024-23469 | Solarwinds ARM Exposed Dangerous Method Vulnerabilidad de ejecución remota de código |
CVE-2024-23475 | Solarwinds ARM Traversal and Information Disclosure Vulnerability (Vulnerabilidad de violación de ARM y divulgación de información de Solarwinds) |
CVE-2024-23467 | Vulnerabilidad de ejecución remota de código en Solarwinds ARM Traversal |
CVE-2024-23466 | Vulnerabilidad de ejecución remota de código de Solarwinds ARM Directory Traversal |
CVE-2024-23470 | Solarwinds ARM UserScriptHumster Exposed Dangerous Method Vulnerabilidad de ejecución remota de comandos |
CVE-2024-23471 | Vulnerabilidad de ejecución remota de código en Solarwinds ARM CreateFile Directory Traversal |
Consecuencias de un exploit exitoso
En febrero, la empresa parcheó otras cinco vulnerabilidades RCE en la solución Access Rights Manager (ARM), tres de las cuales se calificaron de críticas porque permitían la explotación sin autenticación.
Los informes de los medios de comunicación han mencionado que estos fallos de seguridad de SolarWinds no han sido explotados, pero las consecuencias, si lo hubieran sido, podrían haber sido devastadoras. En febrero, SolarWinds corrigió otras cinco vulnerabilidades relacionadas con el software ARM. Además, el sistema interno de la empresa también fue violado por APT29, un grupo ruso de ciberdelincuentes, en 2020.
SolarWinds, en aquel momento, trabajaba con empresas de Fortune 500 como Google, Apple y Amazon junto con organizaciones gubernamentales que incluían:
- El Pentágono.
- Servicio postal.
- El ejército estadounidense.
- Departamento de Justicia.
- El Departamento de Estado.
- NASA, NSA y NOAA.
- La Oficina del Presidente de los Estados Unidos.
Las vulnerabilidades a las que hace frente el parche más reciente podrían haber permitido a los piratas informáticos no sólo leer, sino también borrar archivos en los sistemas comprometidos. Además, estas vulnerabilidades podrían haberles permitido elevar sus privilegios, utilizándolos para ejecutar código arbitrario.
Lanzamiento del parche de SolarWinds
En lo que respecta al parche de SolarWinds, cabe mencionar aquí que este desarrollo se ha producido después de que la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) añadiera otra vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La vulnerabilidad que se ha añadido al KEV es un fallo de alta gravedad en la exploración de rutas de SolarWinds Serv-U Path dubber CVE-2024-28995 y tiene una puntuación CVSS de 8,6. Las vulnerabilidades más recientes que no han sido explotadas se abordaron en la versión 2024.3 publicada el 17 de julio de 2024.
Conclusión
El parche de SolarWinds de vulnerabilidades críticas de ARM antes de su explotación ha evitado posibles desastres de ciberseguridad. Con una puntuación CVSS de 9,6, estos fallos podrían haber dado lugar a un acceso no autorizado a los datos y a la ejecución de código malicioso. El oportuno parche en la versión 2024.3 subraya la importancia de contar con protocolos de ciberseguridad robustos en un panorama de amenazas en constante evolución.
Las fuentes de este artículo incluyen artículos en The Hacker News y Security Week.