Активная эксплуатация критической уязвимости RCE в SolarWinds Web Help Desk

Критическая уязвимость SolarWinds Web Help Desk под активной эксплуатацией

Эксперты по кибербезопасности подтвердили, что злоумышленники активно эксплуатируют CVE-2024-28986 — уязвимость критической степени тяжести в SolarWinds Web Help Desk (WHD), позволяющую выполнять удаленное исполнение кода (RCE) без аутентификации. Уязвимость, имеющая оценку CVSS 9.8, представляет серьезную угрозу для организаций, использующих эту платформу управления ИТ-услугами.

Технические детали

• Идентификатор CVE: CVE-2024-28986
• Оценка CVSS: 9.8 (Критическая)
• Уязвимое ПО: SolarWinds Web Help Desk
• Тип уязвимости: Удаленное исполнение кода без аутентификации (RCE)
• Вектор атаки: Уязвимость может быть эксплуатирована удаленно без аутентификации, позволяя злоумышленникам выполнять произвольный код на уязвимых системах.

Компания SolarWinds выпустила бюллетень безопасности 4 июня 2024 года, настоятельно рекомендуя клиентам немедленно установить доступный патч. Причина уязвимости не раскрывается, однако эксплуатация обычно связана с передачей специально сформированных входных данных для запуска исполнения кода в контексте уязвимого приложения.

Анализ последствий

Успешная эксплуатация CVE-2024-28986 может позволить злоумышленникам:

• Получить полный контроль над уязвимыми экземплярами SolarWinds WHD.
• Развернуть вредоносное ПО, похитить конфиденциальные данные или переместиться на другие системы в сети.
• Нарушить работу систем управления ИТ-услугами, что приведет к простоям или утечкам данных.

Учитывая активную эксплуатацию уязвимости в реальных условиях, организации, использующие SolarWinds WHD, подвергаются повышенному риску. Критическая степень тяжести и низкая сложность атаки делают эту уязвимость привлекательной целью как для случайных злоумышленников, так и для групп APT (Advanced Persistent Threat).

Рекомендации

Специалистам по безопасности рекомендуется незамедлительно выполнить следующие шаги:

1. Установить патч: Обновите SolarWinds Web Help Desk до последней версии для устранения уязвимости CVE-2024-28986. Патчи доступны в бюллетене безопасности SolarWinds.
2. Изолировать уязвимые системы: Если установка патча невозможна немедленно, ограничьте сетевой доступ к экземплярам WHD только доверенными IP-адресами.
3. Мониторинг эксплуатации: Разверните системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления признаков эксплуатации, таких как необычный сетевой трафик или попытки несанкционированного доступа.
4. Анализ журналов: Проверьте журналы на наличие признаков компрометации, включая неожиданные попытки аутентификации или аномальное выполнение процессов.
5. Сегментация сети: Ограничьте возможность горизонтального перемещения, сегментируя сети для локализации потенциальных взломов.

Организациям следует уделить первоочередное внимание установке этого патча, так как эксплуатация уязвимости, вероятно, будет усиливаться в связи с ее критическим характером и публичным раскрытием. Дополнительные рекомендации можно найти в официальных ресурсах SolarWinds или проконсультировавшись с командами реагирования на инциденты кибербезопасности.