SolarWinds ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 5 รายการในโซลูชัน Access Rights Manager (ARM) โดยช่องโหว่ 3 รายการเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ได้รับอนุญาต
Access Rights Manager (ARM) ช่วยให้บริษัทต่าง ๆ สามารถจัดการ และตรวจสอบสิทธิ์การเข้าถึงโครงสร้างพื้นฐานด้าน IT เพื่อลดผลกระทบจาก insider threat และอื่น ๆ อีกมากมาย
CVE-2024-23476 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) และ CVE-2024-23479 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ path traversal RCE ใน SolarWinds Access Rights Manager
CVE-2023-40057 (คะแนน CVSS 9.0/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่เกิดจากการ Deserialization ข้อมูลที่ไม่น่าเชื่อถือใน SolarWinds ARM
ในส่วนช่องโหว่อีก 2 รายการ คือ CVE-2024-23477 (คะแนน CVSS 7.9/10 ความรุนแรงระดับ High) และ CVE-2024-23478 (คะแนน CVSS 8.0/10 ความรุนแรงระดับ High) เป็นช่องโหว่ RCE ใน SolarWinds Access Rights Manager และ SolarWinds ARM ตามลำดับ
ช่องโหว่ 4 รายการถูกค้นพบ และรายงานโดยนักวิจัยที่ไม่ระบุชื่อที่ทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro และอีก 1 รายการ ถูกค้นพบ และรายงานโดย Piotr Bazydło นักวิจัยช่องโหว่ของ ZDI
ปัจจุบัน SolarWinds ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวใน Access Rights Manager เวอร์ชัน 2023.2.3 นอกจากนี้จากการตรวจสอบของ SolarWinds ยังไม่พบการโจมตีโดยใช้ช่องโหว่ดังกล่าว
การโจมตี supply-chain attack ไปยัง SolarWinds ในเดือนมีนาคม 2020
เดือนมีนาคม 2020 กลุ่ม APT29 ของรัสเซีย ได้โจมตีแทรกซึมเข้าถึงระบบภายในของ SolarWinds โดยการ inject code ที่เป็นอันตรายลงใน SolarWinds Orion IT administration platform ที่ให้ลูกค้าดาวน์โหลดระหว่างเดือนมีนาคม 2020 ถึงมิถุนายน 2020 โดยได้ฝัง Sunburst backdoor ไปในระบบที่ถูกดาวน์โหลดกว่า 1,000 ระบบ ซึ่งกลุ่ม APT29 ยังได้ใช้ Sunburst ในการโจมตีแบบกำหนดเป้าหมายต่อไป
SolarWinds มีลูกค้ามากกว่า 300,000 รายทั่วโลก ให้บริการ 96% ของบริษัทที่ติดอันดับ Fortune 500 รวมถึงบริษัทที่มีชื่อเสียงระดับสูงเช่น Apple, Google และ Amazon รวมถึงองค์กรภาครัฐเช่นกองทัพสหรัฐฯ, เพนตากอน, กระทรวงการต่างประเทศ, NASA, NSA, บริการไปรษณีย์, NOAA, กระทรวงยุติธรรม และสำนักงานประธานาธิบดีแห่งสหรัฐอเมริกา
ภายหลังจากการเปิดเผยการโจมตี supply-chain attack ทางหน่วยงานรัฐบาลสหรัฐฯ หลายแห่งยืนยันว่าพวกเขาถูกโจมตี รวมถึงกระทรวงการต่างประเทศ, กระทรวงความมั่นคงแห่งมาตุภูมิ, กระทรวงการคลัง และพลังงาน รวมถึงหน่วยงานโทรคมนาคม และสารสนเทศแห่งชาติ (NTIA), สถาบันสุขภาพแห่งชาติ และสำนักงานบริหารความมั่นคงนิวเคลียร์แห่งชาติ
โดยต่อมาในปี 2021 รัฐบาลสหรัฐอเมริกาได้กล่าวหาว่าหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) เป็นผู้อยู่เบื้องหลังการโจมตีทางไซเบอร์ของ SolarWinds รวมถึงในเดือนตุลาคม 2021 สำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) ได้ตั้งข้อหา SolarWinds ฐานฉ้อโกงนักลงทุนโดยถูกกล่าวหาว่าไม่ได้แจ้งปัญหาเรื่องการโจมตีทางไซเบอร์ในปี 2020
ที่มา : bleepingcomputer
You must be logged in to post a comment.