SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds ได้ทำการแก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยที่ 6 จาก 8 ช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเป้าหมายได้

Access Rights Manager คือเครื่องมือที่สำคัญในองค์กรขนาดใหญ่ที่ช่วยให้แอดมินสามารถจัดการ และตรวจสอบสิทธิ์การเข้าถึงระบบโครงสร้าง IT ขององค์กรเพื่อลดผลกระทบจากภัยคุกคาม

ในส่วนของช่องโหว่ที่สามารถโจมตีแบบ RCE ได้นั้น ประกอบไปด้วย (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471, และ CVE-2024-23470) ซึ่งได้คะแนน CVSS ไป 9.6/10 ซึ่งช่องโหว่เหล่านี้ทำให้ผู้โจมตีที่ไม่จำเป็นต้องมีสิทธิ์สูง สามารถดำเนินการใด ๆ บนระบบที่ไม่ได้ทำการอัปเดต โดยการรันโค้ด หรือคำสั่งด้วยสิทธิ์ SYSTEM บนระบบ หรือไม่ก็ได้ ขึ้นอยู่กับช่องโหว่ที่ถูกโจมตี

นอกจากนี้ทางบริษัทยังได้อัปเดตแพทช์เพื่อแก้ไขช่องโหว่ Directory traversal ระดับ Critical 2 รายการ (CVE-2024-23475 และ CVE-2024-23472) ที่ทำให้ผู้ใช้งานที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถดำเนินการลบไฟล์ และเข้าถึงไฟล์ข้อมูลที่มีความสำคัญได้ หลังจากที่สามารถเข้าถึงไฟล์ หรือโฟลเดอร์ภายนอก directories ที่จำกัดไว้ได้

พร้อมทั้งแก้ไขช่องโหว่ authentication bypass ที่มีระดับความรุนแรงสูง (CVE-2024-23465) ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถยกระดับสิทธิ์เป็นแอดมินเพื่อเข้าถึงข้อมูลต่าง ๆภายใน Active Directory ได้

SolarWinds ได้ออกแพตช์แก้ไขช่องโหว่ต่าง ๆ (ข้อมูลช่องโหว่ และการแก้ไขทั้งหมดถูกรายงานผ่าน Zero Day Initiative ของ Trend Micro) บน Access Right Manager 2024.3, ซึ่งถูกปล่อยออกมาในวันพุธที่ 17 กรกฎาคม 2024 พร้อมกันกับการแก้ไขบัค และความปลอดภัยอื่น ๆ

บริษัทยังไม่ได้เปิดเผยถึงการพบชุดเครื่องมือสาธิตการโจมตี (Proof-of-concept exploits - PoC) สำหรับช่องโหว่ต่าง ๆ หรือการถูกนำไปใช้งานในการโจมตีจริง

ในเดือนกุมภาพันธ์ 2024 SolarWinds ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ RCE 5 รายการใน Access Rights Manager (ARM) ซึ่ง 3 ใน 5 เป็นช่องโหว่ระดับ Critical เนื่องจากทำให้เกิดการโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน

เมื่อ 4 ปีที่แล้ว ระบบภายในของ SolarWinds ถูกเข้าถึง และยึดได้โดยกลุ่มแฮ็กเกอร์สัญชาติรัสเซียชื่อ APT29 ซึ่งกลุ่มดังกล่าวได้โจมตีด้วยการแทรกโค้ดแปลกปลอม (Injected malicious code) เข้าไปในแพลตฟอร์มผู้ดูแลระบบของ Orion IT ซึ่งมีผู้ใช้บริการดาวน์โหลดไปในช่วง มีนาคม 2020 ถึง มิถุนายน 2020

ด้วยจำนวนผู้ใช้บริการกว่า 300,000 รายครอบคลุมทั่วโลก ณ เวลานั้น, SolarWinds ได้ให้บริการกว่า 96% กับบริษัทใน Fortune 500 ซึ่งรวมไปถึงบริษัทด้านเทคโนโลยีขนาดใหญ่ เช่น Apple, Google, Amazon อีกทั้งยังมีหน่วยงานจากภาครัฐ เช่น กระทรวงกลาโหมสหรัฐฯ, Pentagon, กระทรวงการต่างประเทศ, องค์กร NASA, สำนักงานความมั่นคงแห่งชาติ (NSA), ผู้ให้บริการไปรษณีย์, องค์การบริหารมหาสมุทร และชั้นบรรยากาศแห่งชาติ (NOAA), กระทรวงยุติธรรมสหรัฐฯ (DOJ) และทำเนียบรัฐบาลสหรัฐฯ

อย่างไรก็ตามถึงแม้ว่ากลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียจะใช้งาน Trojanized updates เพื่อใช้งาน Sunburst backdoor บนหลายพันระบบ แต่ที่เป็นเป้าหมายจริงคือผู้ใช้บริการ SolarWinds เพียงจำนวนน้อยเท่านั้น สำหรับนำไปใช้ในการโจมตีของขั้นตอนถัดไป

หลังจากที่การโจมตีแบบ Supply-chain attack ถูกเปิดเผย หลายหน่วยงานในสหรัฐฯ ได้ยืนยันว่าระบบเครือข่ายถูกโจมตีจากแคมเปญการโจมตีดังกล่าว โดยครอบคลุมไปถึงกระทรวงการต่างประเทศ, กระทรวงความมั่นคงภายในสหรัฐฯ, กระทรวงการคลัง, กระทรวงพลังงาน รวมไปถึง กระทรวงโทรคมนาคมและสารสนเทศแห่งชาติ (NTIA), สถาบันสุขภาพแห่งชาติ และสำนักงานความมั่นคงนิวเคลียร์แห่งชาติ

ในเดือนเมษายน 2021 รัฐบาลของสหรัฐฯ ได้กล่าวหาอย่างเป็นทางการว่าหน่วยข่าวกรองของรัสเซีย (Russian Foreign Intelligence Service - SVR) อยู่เบื้องหลังของการโจมตี SolarWinds ในปี 2020 และส่งผลให้ทางสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) สั่งให้ SolarWinds ชดใช้ค่าเสียหายในเดือน ตุลาคม 2023 อันเนื่องมาจากความล้มเหลวในการแจ้งเตือนปัญหาด้านความปลอดภัยทางไซเบอร์ของผู้ลงทุนก่อนเกิดการโจมตีสำเร็จ

ที่มา : BLEEPINGCOMPUTER