SolarWinds ออกแพตช์อัปเดตเร่งด่วนระดับ critical สำหรับช่องโหว่ของ Web Help Desk ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบที่มีช่องโหว่ได้โดยใช้ hardcoded credentials
โดย Web Help Desk (WHD) เป็นซอฟต์แวร์ช่วยเหลือทางด้านไอทีที่ได้รับความนิยมจากหน่วยงานของรัฐ, บริษัทขนาดใหญ่, องค์กรด้านการดูแลสุขภาพ และการศึกษา เพื่อนำมาช่วยให้งานบริหารจัดการเป็นรูปแบบอัตโนมัติ และมีประสิทธิภาพมากขึ้น ทั้งนี้ระบบ IT management ของ SolarWind มีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-28987 ได้รับการแก้ไขไปเมื่อวันพุธที่ 21 สิงหาคม 2024 ที่ผ่านมา โดยเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนเข้าถึงฟังก์ชันภายใน และแก้ไขข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้หลังจากการโจมตีสำเร็จ ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Zach Hanley นักวิจัยด้านความปลอดภัยจาก Horizon3.ai
ทาง SolarWinds ยังไม่ได้เผยแพร่คำแนะนำเพิ่มเติมสำหรับช่องโหว่ WHD นี้ใน Trust Center และยังไม่ได้เปิดเผยว่าช่องโหว่ CVE-2024-28987 กำลังถูกใช้ในการโจมตีหรือไม่ เนื่องจากต้องการปล่อย Web Help Desk เวอร์ชั่น 12.8.3 Hotfix 2 ออกมาก่อน
โดยทางบริษัทได้ให้คำแนะนำโดยละเอียดเกี่ยวกับการติดตั้ง และลบ Hotfix พร้อมเตือนผู้ดูแลระบบให้อัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk เวอร์ชั่น 12.8.3.1813 หรือ 12.8.3 HF1 ในสัปดาห์นี้ก่อนที่จะติดตั้ง Hotfix
คำแนะนำ สำหรับผู้ดูแลระบบทำการสำรองไฟล์ (backups) ไว้ก่อนที่จะดำเนินการติดตั้งอัปเกรด Hotfix เพื่อหลีกเลี่ยงปัญหาที่อาจจะเกิดขึ้น เช่น อัปเกรด Hotfix ไม่สำเร็จ หรือการดำเนินการไม่ถูกต้อง
Hotfix ยังได้แก้ไขช่องโหว่ RCE ที่กำลังถูกใช้ในการโจมตี Web Help Desk
โดย Hotfix ได้แก้ไขช่องโหว่ระดับ Critical ที่เป็นการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ WHD (CVE-2024-28986) เมื่อวันที่ 14 สิงหาคม 2024 และ CISA ระบุว่ากำลังถูกใช้ในการโจมตีในอีกสองวันต่อมา
โดย CISA ได้เพิ่มช่องโหว่ CVE-2024-28986 ลงใน KEV catalog เมื่อหนึ่งสัปดาห์ที่ผ่านมา โดยกำหนดให้หน่วยงานของรัฐบาลกลางต้องอัปเดตแพตช์เซิร์ฟเวอร์ WHD ทั้งหมดในเครือข่ายภายในวันที่ 5 กันยายน 2024 ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01
หน่วยงานด้านความปลอดภัยทางไซเบอร์แจ้งเตือนว่า "ช่องโหว่ประเภทนี้มักเป็นช่องทางที่ผู้โจมตีใช้ในการโจมตี ซึ่งมีความเสี่ยงมากต่อหน่วยงานของรัฐบาล"
ในปี 2024 นี้ SolarWinds ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical หลายรายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยแก้ไขช่องโหว่ห้ารายการในเดือนกุมภาพันธ์ และแปดรายการในเดือนกรกฎาคม
ในเดือนมิถุนายนที่ผ่านมา บริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise แจ้งเตือนว่าผู้โจมตีได้โจมตีผ่านช่องโหว่ SolarWinds Serv-U path-traversal และไม่นานหลังจากนั้นทาง SolarWinds ก็ได้ปล่อยแพตช์แก้ไขเร่งด่วนทันที
ที่มา : bleepingcomputer
You must be logged in to post a comment.