SolarWinds telah memperbaiki delapan kerentanan kritis dalam perangkat lunak Access Rights Manager (ARM), enam di antaranya memungkinkan penyerang memperoleh eksekusi kode jarak jauh (RCE) pada perangkat yang rentan.
Access Rights Manager adalah alat penting dalam lingkungan perusahaan yang membantu admin mengelola dan mengaudit hak akses di seluruh infrastruktur TI organisasi mereka untuk meminimalkan dampak ancaman.
Kerentanan RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471, dan CVE-2024-23470)—yang semuanya diberi skor keparahan 9,6/10—memungkinkan penyerang tanpa hak istimewa melakukan tindakan pada sistem yang belum ditambal dengan mengeksekusi kode atau perintah, dengan atau tanpa hak istimewa SISTEM, tergantung pada kelemahan yang dieksploitasi.
Perusahaan juga menambal tiga kelemahan traversal direktori kritis (CVE-2024-23475 dan CVE-2024-23472) yang memungkinkan pengguna yang tidak diautentikasi untuk melakukan penghapusan file sembarangan dan memperoleh informasi sensitif setelah mengakses file atau folder di luar direktori terbatas.
Perbaikan ini juga memperbaiki kerentanan bypass autentikasi tingkat tinggi (CVE-2024-23465) yang dapat memungkinkan pelaku jahat yang tidak diautentikasi memperoleh akses admin domain dalam lingkungan Direktori Aktif.
Angin Surya ditambal kelemahan (semua dilaporkan melalui Inisiatif Zero Day Trend Micro) di Manajer Hak Akses 2024.3dirilis pada hari Rabu dengan perbaikan bug dan keamanan.
Perusahaan tersebut belum mengungkapkan apakah eksploitasi bukti konsep untuk kelemahan ini tersedia di pasaran atau apakah ada di antaranya yang telah dieksploitasi dalam serangan.
| ID CVE | Judul Kerentanan |
|---|---|
| CVE-2024-23469 | SolarWinds ARM Mengungkap Metode Eksekusi Kode Jarak Jauh yang Berbahaya |
| CVE-2024-23466 | Kerentanan Eksekusi Kode Jarak Jauh SolarWinds ARM Directory Traversal |
| CVE-2024-23467 | Kerentanan Eksekusi Kode Jarak Jauh SolarWinds ARM Directory Traversal |
| CVE-2024-28074 | Kerentanan Eksekusi Kode Jarak Jauh Deserialisasi Internal ARM SolarWinds |
| CVE-2024-23471 | Kerentanan Eksekusi Kode Jarak Jauh SolarWinds ARM CreateFile Directory Traversal |
| CVE-2024-23470 | SolarWinds ARM UserScriptHumster Mengungkap Kerentanan Metode RCE yang Berbahaya |
| CVE-2024-23475 | Kerentanan Penelusuran Direktori ARM dan Pengungkapan Informasi SolarWinds |
| CVE-2024-23472 | SolarWinds ARM Directory Traversal Penghapusan File Sembarangan dan Pengungkapan Informasi |
| CVE-2024-23465 | SolarWinds ARM ChangeHumster Terungkap Metode Berbahaya untuk Membypass Autentikasi |
Pada bulan Februari, perusahaan menambal lima kerentanan RCE lainnya dalam solusi Access Rights Manager (ARM), tiga di antaranya dinilai kritis karena memungkinkan eksploitasi yang tidak diautentikasi.
Empat tahun lalu, sistem internal SolarWinds diretas oleh kelompok peretas Rusia APT29. Kelompok peretas tersebut menyuntikkan kode berbahaya ke dalam platform administrasi Orion IT yang diunduh oleh pelanggan antara Maret 2020 dan Juni 2020.
Dengan lebih dari 300.000 pelanggan di seluruh dunia saat itu, SolarWinds melayani 96% perusahaan Fortune 500, termasuk perusahaan teknologi ternama seperti Apple, Google, dan Amazon, serta organisasi pemerintah seperti Militer AS, Pentagon, Departemen Luar Negeri, NASA, NSA, Layanan Pos, NOAA, Departemen Kehakiman, dan Kantor Presiden Amerika Serikat.
Namun, meskipun peretas negara Rusia menggunakan pembaruan Trojan untuk menyebarkan Pintu belakang Sunburst pada ribuan sistem, mereka hanya menargetkan jumlah pelanggan Solarwinds yang jauh lebih kecil untuk eksploitasi lebih lanjut.
Setelah serangan rantai pasokan tersebut terungkap, beberapa lembaga pemerintah AS mengonfirmasi bahwa jaringan mereka telah diretas dalam operasi tersebut. Termasuk Departemen NegaraBahasa Indonesia: Keamanan dalam negeriBahasa Indonesia: PerbendaharaanDan Energiserta Administrasi Telekomunikasi dan Informasi Nasional (NTIA), Institut Kesehatan Nasionaldan Administrasi Keamanan Nuklir Nasional.
Pada bulan April 2021, pemerintah AS secara resmi dituduh Dinas Intelijen Luar Negeri Rusia (SVR) yang mengatur serangan Solarwinds 2020, dan Komisi Sekuritas dan Bursa AS (SEC) SolarWinds yang dikenakan biaya pada bulan Oktober 2023 karena gagal memberi tahu investor tentang masalah pertahanan keamanan siber sebelum peretasan.
