CISA Perşembe günü saldırganların Solarwinds'in Web Yardım Masası çözümünde müşteri desteği için yakın zamanda yamalı bir kritik güvenlik açığından yararlandıkları konusunda uyardı.
Web Yardım Masası (WHD) Yardım masası yazılımı, büyük şirketler, devlet kurumları ve sağlık ve eğitim kuruluşları tarafından yaygın olarak kullanılan yardım masası yönetimi görevlerini merkezileştirmek, otomatikleştirmek ve kolaylaştırmak için.
CVE-2024-28986 olarak izlenen bu Java Deserializasyon Güvenliği Kususu, tehdit aktörlerinin savunmasız sunucularda uzaktan kod yürütülmesini ve başarılı sömürü takiben ana makinede komutları çalıştırmasını sağlar.
Solarwinds, CISA'nın uyarısından bir gün önce Çarşamba günü güvenlik açığı için bir sıcaklık yayınladı. Bununla birlikte, şirket, tüm yöneticilerin savunmasız cihazlara düzeltilmesini tavsiye etmesine rağmen, vahşi sömürü hakkında herhangi bir bilgi açıklamamıştır.
"Kimlik doğrulanmamış bir güvenlik açığı olarak bildirilmiş olsa da, Solarwinds kapsamlı testten sonra kimlik doğrulaması yapmadan yeniden üretememiştir. Ancak, çok fazla dikkatli bir şekilde, tüm Web Yardım Masası müşterilerinin şimdi mevcut olan yamayı uygulamasını öneririz," Solarwinds söz konusu.
"SAML tek oturum açma (SSO) kullanılırsa WHD 12.8.3 Hotfix 1 uygulanmamalıdır. Bu sorunu ele almak için kısa süre içinde yeni bir yama mevcut olacaktır."
SolarWinds ayrıca, Hotfix'i uygulama ve kaldırma konusunda ayrıntılı talimatlar içeren bir destek makalesi yayınladı, yöneticilerin Hotfix'i yüklemeden önce Web Yardım Masası 12.8.3.1813'e yükseltmesi gerektiği konusunda uyardı.
Şirket, hotfix dağıtımının başarısız olması veya hotfix doğru uygulanmadığı takdirde, potansiyel sorunlardan kaçınmak için kurulum işlemi sırasında bunları değiştirmeden önce orijinal dosyaların yedeklemelerinin oluşturulmasını önerir.
CISA, Perşembe günü TS KEV kataloğuna CVE-2024-28986'yı ekledi ve federal ajansları, Bağlayıcı Operasyonel Direktif (BOD) 22-01'in gerektirdiği şekilde, 5 Eylül'e kadar WHD sunucularını üç hafta içinde düzeltmeyi zorunlu kıldı.
Bu yılın başlarında, SolarWinds ayrıca erişim hakları yöneticisi (ARM) yazılımında bir düzineden fazla kritik uzaktan kumanda yürütme (RCE) kusurunu, Temmuz ayında sekiz ve Şubat ayında beşte yamaladı.
Haziran ayında, siber güvenlik firması Greynoise, tehdit aktörlerinin zaten bir Solarwinds Serv-U yol-traeval güvenlik açığı kullandıkları konusunda uyardı, Solarwinds'in bir hotfix yayınlamasından sadece iki hafta sonra ve konsept kanıtı (POC) istismarlarının çevrimiçi olarak yayınlanmasından günler sonra.
SolarWinds, şirketin BT yönetim ürünlerinin dünya çapında 300.000'den fazla müşteri tarafından kullanıldığını söylüyor.
Cisa, fidye yazılımı saldırılarında sömürülen Jenkins RCE Bug hakkında uyarıyor
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
SolarWinds Erişim Hakları Denetim Yazılımında 8 Kritik Hatayı Düzeltiyor
Cisa, kritik Geoserver Geotools RCE Kusurunun saldırılarda kullanıldığı konusunda uyarıyor
Yaygın olarak kullanılan Ghostscript Kütüphanesinde RCE Bug şimdi saldırılarda sömürüldü
Kaynak: Bleeping Computer