SolarWinds deixou credenciais críticas codificadas em seu produto Web Help Desk

Por que se esforçar para fazer backdoor de código quando os desenvolvedores basicamente farão isso por você acidentalmente de qualquer maneira?

A SolarWinds deixou credenciais codificadas em seu produto Web Help Desk que podem ser usadas por invasores remotos e não autenticados para fazer login em instâncias vulneráveis, acessar funcionalidades internas e modificar dados confidenciais

O fabricante do software lançou uma atualização para corrigir esse erro crítico; seus usuários são incentivados a instalar a correção, que presumivelmente remove as credenciais incorporadas.

O erro de segurança, rastreado como CVE-2024-28987 , recebeu uma classificação de gravidade CVSS de 9,1 de 10. Ele afeta o Web Help Desk 12.8.3 HF1 e todas as versões anteriores, e foi corrigido no 12.8.3 HF2. O patch de hotfix , emitido ontem, precisa ser instalado manualmente.

O WHD é o software de gerenciamento de ativos e emissão de tickets de help desk de TI da SolarWinds, e seu site conta com depoimentos de clientes dos setores governamental, educacional, de saúde, sem fins lucrativos e de telecomunicações. 

Considerando a gravidade do bug, a base de clientes que a SolarWinds tem entre clientes governamentais e empresariais, e o fato de que a falha é devido a credenciais codificadas, suspeitamos que os criminosos já estejam escaneando sistemas em risco que sejam pelo menos acessíveis pela internet pública. Então é uma boa ideia priorizar isso o mais rápido possível antes que tenhamos outra, bem, SolarWinds em nossas mãos.

Sim, estamos falando do mesmo fornecedor que teve um backdoor adicionado silenciosamente ao seu pacote de monitoramento de TI Orion por espiões russos para que os bisbilhoteiros pudessem se infiltrar nas redes de clientes da SolarWinds, incluindo departamentos do governo dos EUA.

O fabricante do software não respondeu imediatamente às perguntas do The Register sobre o CVE e se ele está sob ataque ativo.

Zach Hanley, pesquisador de vulnerabilidades da Horizon3.ai, encontrou e divulgou a falha para a SolarWinds na sexta-feira e prometeu divulgar mais detalhes sobre o bug no mês que vem.

Hanley também pediu que as organizações instalassem o hotfix o mais rápido possível. Ele observou que, ao aplicar o patch, “solicitações para páginas inexistentes em instâncias corrigidas retornarão no content / content-length 0.”

Este último patch de emergência acontece cerca de uma semana após a CISA adicionar uma falha WHD crítica diferente ao seu catálogo de Vulnerabilidades Exploradas Conhecidas . Esta, rastreada como CVE-2024-28986 , é uma vulnerabilidade de execução remota de código de desserialização Java que, se explorada, permite que um invasor execute comandos na máquina host.

Ele recebeu uma pontuação CVSS de 9,8, e não está claro quem está explorando essa vulnerabilidade. A CISA diz que é “desconhecido” se esse CVE está sendo usado em campanhas de ransomware. 

Fonte: The Register