El proveedor de software de gestión de TI SolarWinds ha instado a los clientes a que apliquen inmediatamente un parche a una vulnerabilidad crítica en su plataforma Web Help Desk. CVE-2024-28986 es un error de ejecución remota de código (RCE) de deserialización de Java descubierto por investigadores del Gobierno de Inmarsat, según un aviso publicado ayer. “Se ha descubierto que SolarWinds Web Help Desk es susceptible a una vulnerabilidad de ejecución remota de código de deserialización de Java que, si se explota, permitiría a un atacante ejecutar comandos en la máquina host”, explicó. “Aunque se informó de que se trataba de una vulnerabilidad no autenticada, SolarWinds no ha podido reproducirla sin autenticación después de realizar pruebas exhaustivas. Sin embargo, por precaución, recomendamos a todos los clientes de Web Help Desk que apliquen el parche, que ya está disponible”. El proveedor dijo que todas las versiones de Web Help Desk (WHD) deberían actualizarse a WHD 12.8.3 y, a continuación, debería instalarse la revisión. CVE-2024-28986 ha recibido una puntuación CVSS v3 de 9,8, lo que ilustra la importancia de parchear el problema de inmediato. SolarWinds ha publicado instrucciones sobre cómo actualizar a WHD 12.8.3 e instalar la revisión, así como sobre cómo desinstalarla si es necesario. Lea más sobre SolarWinds: Se encontraron tres vulnerabilidades más en los productos de SolarWinds La empresa también sugirió que los clientes hicieran una copia de seguridad de varios archivos antes de aplicar la revisión, presumiblemente en caso de que algo salga mal durante el proceso. En julio, un juez estadounidense desestimó la mayoría de los cargos presentados por la SEC contra SolarWinds por una violación de seguridad de 2021 que afectó a miles de clientes. Dictaminó que las afirmaciones de que SolarWinds y el CISO Timothy Brown ocultaron las debilidades de seguridad de la empresa después del incidente, defraudando así a sus inversores, se basaban en «retrospectiva y especulación». El juez también desestimó las afirmaciones de la SEC de que la empresa ocultó efectivamente las debilidades de ciberseguridad en sus productos antes del ataque. Sin embargo, dictaminó que existen preocupaciones legítimas sobre la falla de los controles de seguridad integrados en los productos SolarWinds.