Η αδυναμία του SolarWinds Web Help Desk εκμεταλλεύεται από κυβερνοεπιθέσεις

Η CISA πρόσθεσε τρία ελαττώματα στον κατάλογό της «Γνωστά εκμεταλλευόμενα τρωτά σημεία» (KEV), μεταξύ των οποίων είναι ένα κρίσιμο ελάττωμα διαπιστευτηρίων με σκληρό κώδικα στο SolarWinds Web Help Desk (WHD) που διόρθωσε ο προμηθευτής στα τέλη Αυγούστου 2024.

Το SolarWinds Web Help Desk είναι μια σουίτα γραφείου βοήθειας πληροφορικής που χρησιμοποιείται από 300.000 πελάτες παγκοσμίως, συμπεριλαμβανομένων κρατικών υπηρεσιών, μεγάλων εταιρειών και οργανισμών υγειονομικής περίθαλψης.

Το ελάττωμα του SolarWinds παρακολουθείται ως CVE-2024-28987 και προκαλείται από σκληρά κωδικοποιημένα διαπιστευτήρια, ένα όνομα χρήστη του “helpdeskIntegrationUser” και τον κωδικό πρόσβασης του “dev-C4F8025E7”. Χρησιμοποιώντας αυτά τα διαπιστευτήρια, οι απομακρυσμένοι εισβολείς χωρίς έλεγχο ταυτότητας θα μπορούσαν ενδεχομένως να έχουν πρόσβαση στα τελικά σημεία WHD και να έχουν πρόσβαση ή να τροποποιούν δεδομένα χωρίς περιορισμούς.

Η SolarWinds εξέδωσε μια επείγουσα επιδιόρθωση τέσσερις ημέρες αφότου έλαβε μια αναφορά από τον ερευνητή του Horizon3.ai, Zach Hanley, ο οποίος την ανακάλυψε, καλώντας τους διαχειριστές του συστήματος να μετακινηθούν στην επείγουσα επιδιόρθωση WHD 12.8.3 ή μεταγενέστερη έκδοση.

Η CISA έχει τώρα πρόσθεσε το ελάττωμα στο ΚΕΒυποδεικνύοντας ότι αξιοποιείται σε επιθέσεις στη φύση.

Η αμερικανική κυβερνητική υπηρεσία δεν μοιράστηκε πολλές λεπτομέρειες σχετικά με την κακόβουλη δραστηριότητα και έθεσε την κατάσταση εκμετάλλευσης ransomware σε άγνωστη.

Οι ομοσπονδιακές υπηρεσίες και οι κυβερνητικοί οργανισμοί στις ΗΠΑ αναμένεται να ενημερώσουν σε ασφαλή έκδοση ή να σταματήσουν να χρησιμοποιούν το προϊόν έως τις 5 Νοεμβρίου 2024.

Δεδομένης της κατάστασης ενεργούς εκμετάλλευσης του CVE-2024-28987, συνιστάται στους διαχειριστές του συστήματος να λαμβάνουν τα κατάλληλα μέτρα για την ασφάλεια των τερματικών σημείων WDH νωρίτερα από την καθορισμένη προθεσμία.

Τα άλλα δύο ελαττώματα σχετίζονται με τα Windows και τον Mozilla Firefox, με τα δύο τρωτά σημεία να είναι ήδη γνωστό ότι χρησιμοποιούνται σε επιθέσεις. Η CISA απαιτεί επίσης από τις ομοσπονδιακές υπηρεσίες να διορθώσουν αυτές τις ατέλειες έως τις 5 Νοεμβρίου.

Το ελάττωμα των Windows είναι μια συνθήκη αγώνα Kernel TOCTOU που παρακολουθείται ως CVE-2024-30088, η οποία ανακαλύφθηκε ότι αξιοποιήθηκε ενεργά από την Trend Micro. Η εταιρεία κυβερνοασφάλειας απέδωσε την κακόβουλη δραστηριότητα στην OilRig (APT34), η οποία χρησιμοποίησε το ελάττωμα για να ανυψώσει τα προνόμιά της στο επίπεδο SYSTEM σε παραβιασμένες συσκευές.

Η Microsoft αντιμετώπισε την ευπάθεια στο πακέτο ενημέρωσης κώδικα Τρίτης Ιουνίου 2024, αλλά δεν είναι σαφές πότε ξεκίνησε η ενεργή εκμετάλλευση.

Το ελάττωμα του Mozilla Firefox CVE-2024-9680 ανακαλύφθηκε από τον ερευνητή της ESET Damien Schaeffer στις 8 Οκτωβρίου 2024 και επιδιορθώθηκε από τη Mozilla 25 ώρες αργότερα.

Η Mozilla λέει ότι η ESET παρείχε μια αλυσίδα επίθεσης που μπορούσε να εκτελέσει εξ αποστάσεως κώδικα στη συσκευή ενός χρήστη μέσω της απόδοσης CSS χρονοδιαγράμματα κινουμένων σχεδίων στον Firefox.

Αν και η ESET εξακολουθεί να αναλύει την επίθεση που παρατήρησε, ένας εκπρόσωπος είπε στο BleepingComputer ότι η κακόβουλη δραστηριότητα φαίνεται να προέρχεται από τη Ρωσία και πιθανότατα χρησιμοποιήθηκε για επιχειρήσεις κατασκοπείας.