CISA ( آژانس امنیت سایبری و زیرساختهای ایالات متحده ) روز پنجشنبه هشدار داد که مهاجمان در حال سوءاستفاده از یک آسیبپذیری حیاتی که به تازگی در راهکار Web Help Desk شرکت SolarWinds برای پشتیبانی مشتریان رفع شده است، هستند.
Web Help Desk (WHD) نام یک نرمافزار است که برای مدیریت درخواستهای پشتیبانی IT می باشد که توسط شرکتهای بزرگ، سازمانهای دولتی، و سازمانهای بهداشتی و آموزشی در سراسر جهان استفاده میشود تا وظایف مدیریت میز کمک را متمرکز، خودکار و سادهسازی کند.
آسیبپذیری امنیتی که با شناسه CVE-2024-28986 شناخته میشود، یک نقص در deserialization جاوا است که به مهاجمان اجازه میدهد پس از بهرهبرداری موفقیتآمیز از این آسیبپذیری، اجرای کد از راه دور (RCE) را در سرورهای آسیبپذیر به دست آورند و دستورات را روی ماشین میزبان اجرا کنند.
SolarWinds یک اصلاحیه فوری (hotfix) برای این آسیبپذیری در روز چهارشنبه منتشر کرد، یعنی یک روز قبل از هشدار CISA با این حال، این شرکت هیچ اطلاعاتی درباره سوءاستفاده از این آسیبپذیری در دنیای واقعی ارائه نکرد، اگرچه توصیه کرد که همه مدیران این اصلاحیه را روی دستگاههای آسیبپذیر اعمال کنند.
با اینکه این آسیبپذیری بهعنوان یک آسیبپذیری بدون نیاز به احراز هویت گزارش شده بود، SolarWinds پس از آزمایشهای دقیق نتوانست آن را بدون احراز هویت بازتولید کند. با این حال، از روی احتیاط، توصیه میکنیم که تمام مشتریان Web Help Desk این وصله (patch) را که اکنون در دسترس است، اعمال کنند.
اصلاحیه فوری ۱ برای نسخه ۱۲٫۸٫۳ نرمافزار WHD نباید اعمال شود اگر از قابلیت Single Sign-On با SAML استفاده میشود. بهزودی یک وصله جدید برای رفع این مشکل در دسترس خواهد بود.
SolarWinds همچنین یک مقاله پشتیبانی منتشر کرده است که شامل دستورالعملهای دقیق برای اعمال و حذف اصلاحیه فوری (hotfix) میباشد و هشدار داده که مدیران شبکه باید قبل از نصب این اصلاحیه، سرورهای آسیبپذیر را به نسخه ۱۲٫۸٫۳٫۱۸۱۳ نرمافزار Web Help Desk ارتقا دهند.
شرکت توصیه میکند که قبل از جایگزین کردن فایلها در طی فرآیند نصب، از فایلهای اصلی نسخه پشتیبان تهیه شود تا در صورت شکست در اعمال اصلاحیه فوری (hotfix) یا نصب نادرست آن، از بروز مشکلات احتمالی جلوگیری شود.
CISA آسیبپذیری CVE-2024-28986 را در روز پنجشنبه به فهرست KEV خود اضافه کرد و به آژانسهای فدرال دستور داد که تا سه هفته، یعنی تا ۵ سپتامبر، سرورهای WHD خود را طبق الزامات دستورالعمل عملیاتی الزامی (BOD) 22-01، پچ کنند.
اوایل امسال، شرکت SolarWinds همچنین بیش از دوازده آسیبپذیری حیاتی اجرای کد از راه دور (RCE) را در نرمافزار Access Rights Manager (ARM) خود وصله کرد، که شامل هشت آسیبپذیری در ماه ژوئیه و پنج آسیبپذیری در ماه فوریه میشود.
در ماه ژوئن، شرکت امنیت سایبری GreyNoise هشدار داد که مهاجمان در حال حاضر از یک آسیبپذیری path-traversal در نرمافزار Serv-U شرکت SolarWinds سوءاستفاده میکنند، تنها دو هفته پس از آنکه SolarWinds یک اصلاحیه فوری (hotfix) منتشر کرد و چند روز پس از آنکه نمونههای اثبات مفهوم (PoC) آنلاین منتشر شد.
شرکت SolarWinds میگوید که محصولات مدیریت IT این شرکت توسط بیش از ۳۰۰,۰۰۰ مشتری در سرتاسر جهان استفاده میشود.
