Критическая уязвимость SolarWinds Web Help Desk эксплуатируется в реальных атаках: CISA требует срочного обновления
CISA внесла уязвимость RCE в SolarWinds Web Help Desk (CVE-2024-28986) в каталог активно эксплуатируемых. Федеральным агентствам предписано устранить угрозу до 5 сентября 2024 года.
Критическая уязвимость SolarWinds под активной эксплуатацией: предупреждение CISA
Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило критическую уязвимость удаленного выполнения кода (RCE) в SolarWinds Web Help Desk в каталог Known Exploited Vulnerabilities (KEV), подтвердив её активную эксплуатацию в реальных условиях. Федеральным гражданским агентствам предписано устранить уязвимость до 5 сентября 2024 года в соответствии с Binding Operational Directive (BOD) 22-01.
Технические детали
Уязвимость, идентифицированная как CVE-2024-28986, представляет собой баг обхода аутентификации в версиях SolarWinds Web Help Desk 12.8.3 HF 1 и более ранних. В случае эксплуатации злоумышленники могут выполнять произвольный код с повышенными привилегиями на незащищенных системах. Компания SolarWinds выпустила бюллетень безопасности 13 августа 2024 года, настоятельно рекомендовав всем клиентам немедленно применить доступный хотфикс.
Хотя директива CISA распространяется только на федеральные агентства, эксперты по кибербезопасности предупреждают, что все организации, использующие уязвимые версии SolarWinds Web Help Desk, должны незамедлительно установить обновления из-за критической опасности уязвимости (оценка CVSS уточняется).
Анализ последствий
Активная эксплуатация CVE-2024-28986 создает значительные риски, включая:
- Несанкционированный доступ к системам с административными правами;
- Эксфильтрацию данных или манипуляции с операциями службы поддержки;
- Латеральное перемещение в скомпрометированных сетях;
- Потенциал для атак на цепочки поставок, учитывая историю SolarWinds как высокоприоритетной цели (например, взлом Sunburst в 2020 году).
Рекомендации
- Немедленное развертывание патча: Установите хотфикс SolarWinds для Web Help Desk 12.8.3 HF 2 или обновитесь до исправленной версии без промедления.
- Сегментация сети: Изолируйте серверы Web Help Desk от критически важной инфраструктуры до завершения исправления.
- Мониторинг индикаторов компрометации (IOC): Проверьте журналы на предмет необычных попыток аутентификации или несанкционированного доступа.
- Оценка рисков третьих сторон: Проведите аудит поставщиков или партнеров с доступом к системам SolarWinds на предмет потенциальных угроз.
Включение CVE-2024-28986 в каталог KEV подчеркивает срочность устранения этой уязвимости, особенно для организаций, управляющих конфиденциальными данными или критически важной инфраструктурой. Дополнительные сведения доступны в официальном бюллетене SolarWinds.