Los investigadores de seguridad encontraron tres vulnerabilidades críticas de ejecución remota de código en el producto SolarWinds Access Rights Manager (ARM) que los atacantes remotos podrían usar para ejecutar código con privilegios SYSTEM.
SolarWinds ARM es una herramienta que permite a las organizaciones administrar y auditar los derechos de acceso de los usuarios en sus entornos de TI. Ofrece integración con Microsoft Active Directory, control de acceso basado en roles, comentarios visuales y más.
A través de la Zero Day Initiative (ZDI) de Trend Micro, los investigadores informaron de ocho fallos en la solución de SolarWinds el 22 de junio, tres de ellos con gravedad crítica.
El proveedor abordó todas las vulnerabilidades a principios de esta semana con un parche disponible en la versión 2023.2.1 de su Access Rights Manager.
A continuación se muestra la descripción y el identificador de las tres ejecuciones remotas de código (RCE) críticas:
- CVE-2023-35182 (gravedad 9.8): Los atacantes remotos no autenticados pueden ejecutar código arbitrario en el contexto de SYSTEM debido a la deserialización de datos que no son de confianza en el método ‘createGlobalServerChannelInternal’
- CVE-2023-35185 (gravedad 9.8): Los atacantes remotos no autenticados pueden ejecutar código arbitrario en el contexto de SYSTEM debido a la falta de validación de las rutas proporcionadas por el usuario en el método ‘OpenFile’
- CVE-2023-35187 (gravedad 9.8): Los atacantes remotos no autenticados pueden ejecutar código arbitrario en el contexto de SYSTEM sin autenticación debido a la falta de validación de las rutas proporcionadas por el usuario en el método ‘OpenClientUpdateFile’
La ejecución de código en el contexto de «SYSTEM» en computadoras con Windows significa que se ejecuta con los privilegios más altos en la máquina.
SYSTEM es una cuenta interna reservada para el sistema operativo y sus servicios. Los atacantes que obtienen este nivel de privilegios tienen control total sobre todos los archivos de la máquina víctima.
El resto de los problemas de seguridad que SolarWinds abordó en su Access Right Manager son de alta gravedad y los atacantes podrían explotarlos para aumentar los permisos o ejecutar código arbitrario en el host después de la autenticación.
SolarWinds publicó un aviso esta semana que describe las ocho vulnerabilidades y su calificación de gravedad, según lo evaluado por la compañía.
Vale la pena señalar que la compañía no calificó ninguno de los problemas de seguridad como críticos y la calificación más alta es de 8.8, para problemas de alta gravedad.
Fuente: https://www.bleepingcomputer.com
