Source: SOPA Images Limited |
La divulgación de CVE-2024-28987 significa que, en dos semanas, ha habido dos errores críticos y sus correspondientes parches para el software de mesa de ayuda de TI de SolarWinds, que se discute con menos frecuencia.
Por segunda semana consecutiva, SolarWinds ha lanzado un parche para una vulnerabilidad crítica en su software de ayuda y gestión de tickets de TI, Web Help Desk (WHD).
Según su último aviso de corrección, el problema — rastreado como CVE-2024-28987 — se refiere a credenciales codificadas que podrían permitir a un atacante remoto no autenticado infiltrarse en WHD y modificar datos.
"La seguridad es difícil y un proceso continuo", dice Zach Hanley, investigador de vulnerabilidades de Horizon3.ai, quien descubrió e informó sobre el error. "Esta aplicación acaba de recibir una revisión de seguridad tras ser explotada en el entorno real, y hace unos años [antes] tuvo una vulnerabilidad diferente relacionada con credenciales codificadas. Las revisiones de seguridad regulares en la misma aplicación pueden seguir siendo valiosas para las empresas."
Dos Errores Críticos y Dos Soluciones Urgentes
El 13 de agosto, SolarWinds lanzó un parche para CVE-2024-28986, un problema de deserialización de Java que podría haber permitido a un atacante ejecutar comandos en una máquina objetivo. Se le otorgó una puntuación "crítica" de 9.8 sobre 10 en la escala CVSS.
Después de lo que la empresa describió como "pruebas exhaustivas", no pudo demostrar que el problema pudiera ser explotado por un atacante no autenticado. Pero solo dos días después de que se conociera la noticia, CISA añadió CVE-2024-28986 a su catálogo de vulnerabilidades conocidas explotadas, indicando que la explotación activa por parte de actores de amenazas ya estaba en marcha.
Esta semana, la empresa siguió a esta mala noticia inicial con más de lo mismo, esta vez concerniente a una segunda vulnerabilidad en el mismo programa. En este caso, no había ambigüedad en que un atacante no autenticado podría aprovechar las credenciales codificadas en WHD para acceder a funcionalidades y datos internos, lo que justifica en parte su puntuación "crítica" de 9.1 en CVSS.
Contrario a otros informes, CVE-2024-28987 no se introdujo primero en el parche para CVE-2024-28986. "Este problema ha existido durante algún tiempo en el producto, probablemente durante varios años", informa Hanley. SolarWinds se negó a proporcionar más comentarios a Dark Reading.
El nuevo parche de SolarWinds incorpora correcciones para ambos problemas. Se aconseja a los clientes que actualicen de inmediato.
Para enfatizar el punto, Hanley dice: "Imagina si un atacante tuviera acceso a todos los detalles en los tickets de la mesa de ayuda: ¿qué información sensible podría extraer? Credenciales, detalles de operaciones comerciales, etc."
Fuente: Dark Reading