CISA ได้เพิ่มช่องโหว่ 3 รายการลงใน Known Exploited Vulnerabilities catalog (KEV) ซึ่งเป็นรายการช่องโหว่ที่พบว่าถูกนำไปใช้ในการโจมตีแล้ว ซึ่งเป็นช่องโหว่ hardcoded credentials ใน SolarWinds Web Help Desk (WHD) ระดับ Critical โดยทาง SolarWinds ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่แล้วในเดือนสิงหาคม 2024
SolarWinds Web Help Desk คือชุดบริการช่วยเหลือด้านไอทีที่ใช้โดยลูกค้ากว่า 300,000 รายทั่วโลก รวมถึงหน่วยงานภาครัฐ บริษัทขนาดใหญ่ และองค์กรด้านการดูแลสุขภาพ
CVE-2024-28987 (คะแนน CVSS 9.1/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่เกิดจาก hardcoded credentials ชื่อผู้ใช้คือ "helpdeskIntegrationUser" และรหัสผ่านคือ "dev-C4F8025E7" การใช้ credentials เหล่านี้จะทำให้ Hacker จากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเข้าถึง WHD endpoint และสามารถแก้ไขข้อมูลโดยไม่มีข้อจำกัด
SolarWinds ได้ออก hotfix แก้ไขเร่งด่วนสี่วันหลังจากได้รับรายงานจาก Zach Hanley นักวิจัย Horizon3.ai ซึ่งค้นพบช่องโหว่ในโปรแกรมดังกล่าว พร้อมแนะนำให้ผู้ดูแลระบบเปลี่ยนไปใช้ WHD 12.8.3 Hotfix 2 หรือเวอร์ชันที่ใหม่กว่า
โดยขณะนี้ CISA ได้เพิ่มช่องโหว่ดังกล่าวไปยัง KEV ซึ่งบ่งชี้ว่าพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวจริง ทั้งนี้หน่วยงานรัฐบาลสหรัฐฯ ไม่ได้เปิดเผยรายละเอียดมากนักเกี่ยวกับพฤติกรรมที่เป็นอันตราย และได้ตั้งสถานะการที่ช่องโหว่อาจถูกนำมาใช้ในการโจมตีจากแรนซัมแวร์เป็น unknown
ทั้งนี้คาดว่าหน่วยงานของรัฐบาลกลาง และองค์กรของรัฐบาลในสหรัฐฯ จะอัปเดตเป็นเวอร์ชันที่ปลอดภัย หรือหยุดใช้ผลิตภัณฑ์ภายในวันที่ 5 พฤศจิกายน 2024
เมื่อพิจารณาจากสถานะการโจมตีของช่องโหว่ CVE-2024-28987 ขอแนะนำให้ผู้ดูแลระบบใช้มาตรการที่เหมาะสมเพื่อรักษาความปลอดภัย WDH endpoint โดยด่วน
ที่มา : bleepingcomputer
You must be logged in to post a comment.