19 de julio de 2024Sala de prensaVulnerabilidad / Seguridad empresarial SolarWinds ha abordado un conjunto de fallas de seguridad críticas que afectan a su software Access Rights Manager (ARM) y que podrían explotarse para acceder a información confidencial o ejecutar código arbitrario. De las 13 vulnerabilidades, ocho tienen una gravedad crítica y una puntuación CVSS de 9,6 sobre 10,0. Las cinco debilidades restantes han sido calificadas como de gravedad alta, cuatro de ellas con una puntuación CVSS de 7,6 y una con una puntuación de 8,3. Las fallas más graves se enumeran a continuación: CVE-2024-23472: vulnerabilidad de divulgación de información y eliminación arbitraria de archivos en SolarWinds ARM Directory Traversal CVE-2024-28074: vulnerabilidad de ejecución remota de código de deserialización interna en SolarWinds ARM CVE-2024-23469: vulnerabilidad de ejecución remota de código de método peligroso expuesta en SolarWinds ARM CVE-2024-23475: vulnerabilidad de divulgación de información y travesía de SolarWinds ARM CVE-2024-23467: vulnerabilidad de ejecución remota de código de travesía de SolarWinds ARM CVE-2024-23466: vulnerabilidad de ejecución remota de código de travesía de directorio en SolarWinds ARM CVE-2024-23470: vulnerabilidad de ejecución remota de comandos de método peligroso expuesta por UserScriptHumster en SolarWinds ARMCVE-2024-23471 – Vulnerabilidad de ejecución remota de código en SolarWinds ARM CreateFile Directory Traversal La explotación exitosa de las vulnerabilidades mencionadas anteriormente podría permitir a un atacante leer y eliminar archivos y ejecutar código con privilegios elevados. Las deficiencias se han abordado en la versión 2024.3 publicada el 17 de julio de 2024, luego de una divulgación responsable como parte de la Iniciativa Zero Day (ZDI) de Trend Micro. El desarrollo se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) colocara una falla de travesía de ruta de alta gravedad en SolarWinds Serv-U Path (CVE-2024-28995, puntuación CVSS: 8.6) en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) luego de informes de explotación activa en la naturaleza. La empresa de seguridad de redes fue víctima de un importante ataque a la cadena de suministro en 2020 después de que el mecanismo de actualización asociado con su plataforma de gestión de redes Orion fuera comprometido por piratas informáticos rusos APT29 para distribuir código malicioso a los clientes posteriores como parte de una campaña de ciberespionaje de alto perfil. La violación llevó a la Comisión de Bolsa y Valores de Estados Unidos (SEC) a presentar una demanda contra SolarWinds y su director de seguridad de la información (CISO) en octubre pasado alegando que la empresa no reveló información material adecuada a los inversores sobre los riesgos de ciberseguridad. Sin embargo, el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Nueva York desestimó gran parte de las reclamaciones relacionadas con la demanda el 18 de julio, afirmando que «no alegan de manera plausible deficiencias procesables en los informes de la empresa sobre el ataque de ciberseguridad» y que «se basan inadmisiblemente en la retrospectiva y la especulación». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.