พบช่องโหว่ของ SolarWinds Web Help Desk ถูกนำไปใช้ในการโจมตีแล้ว

CISA ได้เพิ่มช่องโหว่ 3 รายการลงใน Known Exploited Vulnerabilities catalog (KEV) ซึ่งเป็นรายการช่องโหว่ที่พบว่าถูกนำไปใช้ในการโจมตีแล้ว ซึ่งเป็นช่องโหว่ hardcoded credentials ใน SolarWinds Web Help Desk (WHD) ระดับ Critical โดยทาง SolarWinds ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่แล้วในเดือนสิงหาคม 2024

SolarWinds Web Help Desk คือชุดบริการช่วยเหลือด้านไอทีที่ใช้โดยลูกค้ากว่า 300,000 รายทั่วโลก รวมถึงหน่วยงานภาครัฐ บริษัทขนาดใหญ่ และองค์กรด้านการดูแลสุขภาพ

CVE-2024-28987 (คะแนน CVSS 9.1/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่เกิดจาก hardcoded credentials ชื่อผู้ใช้คือ "helpdeskIntegrationUser" และรหัสผ่านคือ "dev-C4F8025E7" การใช้ credentials เหล่านี้จะทำให้ Hacker จากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเข้าถึง WHD endpoint และสามารถแก้ไขข้อมูลโดยไม่มีข้อจำกัด

SolarWinds ได้ออก hotfix แก้ไขเร่งด่วนสี่วันหลังจากได้รับรายงานจาก Zach Hanley นักวิจัย Horizon3.ai ซึ่งค้นพบช่องโหว่ในโปรแกรมดังกล่าว พร้อมแนะนำให้ผู้ดูแลระบบเปลี่ยนไปใช้ WHD 12.8.3 Hotfix 2 หรือเวอร์ชันที่ใหม่กว่า

โดยขณะนี้ CISA ได้เพิ่มช่องโหว่ดังกล่าวไปยัง KEV ซึ่งบ่งชี้ว่าพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวจริง ทั้งนี้หน่วยงานรัฐบาลสหรัฐฯ ไม่ได้เปิดเผยรายละเอียดมากนักเกี่ยวกับพฤติกรรมที่เป็นอันตราย และได้ตั้งสถานะการที่ช่องโหว่อาจถูกนำมาใช้ในการโจมตีจากแรนซัมแวร์เป็น unknown

ทั้งนี้คาดว่าหน่วยงานของรัฐบาลกลาง และองค์กรของรัฐบาลในสหรัฐฯ จะอัปเดตเป็นเวอร์ชันที่ปลอดภัย หรือหยุดใช้ผลิตภัณฑ์ภายในวันที่ 5 พฤศจิกายน 2024

เมื่อพิจารณาจากสถานะการโจมตีของช่องโหว่ CVE-2024-28987 ขอแนะนำให้ผู้ดูแลระบบใช้มาตรการที่เหมาะสมเพื่อรักษาความปลอดภัย WDH endpoint โดยด่วน

 

ที่มา : bleepingcomputer