SolarWinds łata krytyczną lukę w Web Help Desk

Niecałe 4 lata temu, pod koniec 2020 roku, w mediach na całym świecie głośno było o ataku na firmę SolarWinds – popularnego dostawcę oprogramowania do monitorowania i zarządzania infrastrukturą IT. Napastnikom udało się podmienić na oficjalnej stronie producenta pliki oprogramowania SolarWinds Orion na zainfekowane, co pozwoliło im dostać się do wewnętrznych systemów takich firm i instytucji jak amerykański Departament Skarbu czy Departament Bezpieczeństwa Krajowego, Microsoft, Intel, Cisco i tysięcy innych. Całą sytuację szeroko opisywaliśmy również na Sekuraku.

Tym razem problem dotyczy innego narzędzia z portfolio firmy – programu SolarWinds Web Help Desk (WHD). Badacz z firmy horizon3.ai zgłosił, że aplikacja ma trwale zapisane dane dostępowe (hardcoded credentials), co może pozwolić nieuwierzytelnionemu użytkownikowi na dostęp i modyfikację wewnętrznych danych. Błąd CVE-2024-28987 został sklasyfikowany według skali CVSS na 9.1, więc zalecamy jak najszybszą aktualizację. Najnowsza wersja oprogramowania, czyli 12.8.3 Hotfix 2, jest już pozbawiona podatności.

Warto też w tym miejscu dodać, że kilkanaście dni temu SolarWinds opublikował dla WHD aktualizację 12.8.3 Hotfix 1, która łatała inną podatność opisaną pod CVE-2024-28986 – 9.8 w skali CVSS. Błąd ten pozwalał nieuprawnionemu użytkownikowi na zdalne wykonanie dowolnego kodu.

~kz