A los usuarios de la plataforma de red Orion de SolarWinds, el servicio en el centro del ataque Solorigate / Sunburst de alto perfil, se les recomienda una vez más que parcheen sus sistemas con urgencia luego de la divulgación de dos vulnerabilidades críticas no relacionadas.
Descubiertos por investigadores de la unidad SpiderLabs de Trustwave, y asignados CVE 2021-25274 y 2021-25275, los errores se revelaron a SolarWinds el 30 de diciembre de 2020 y se confirmaron a principios de enero de 2021. Un parche ha estado disponible desde el 25 de enero, y prueba de El código de concepto también está disponible, aunque se está reteniendo un poco más para dar a los administradores de usuarios finales más tiempo para rectificar los problemas.
Al mismo tiempo, Trustwave reveló una tercera vulnerabilidad no relacionada en SolarWinds Serv-U FTP (Protocolo de transferencia de archivos) para Windows, a la que se le ha asignado CVE-2021-25276.
«Los tres son errores graves, y el más crítico permite la ejecución remota de código con altos privilegios», dijo Martin Rakhmanov, gerente de investigación de seguridad de SpiderLabs, en un blog de divulgación.
“Según el leal saber y entender de Trustwave, ninguna de las vulnerabilidades se aprovechó durante los recientes ataques de SolarWinds ni en ningún ataque ‘in the wild’. Sin embargo, dada la importancia de estos problemas, recomendamos que los usuarios afectados apliquen el parche lo antes posible «.
CVE-2021-25274 es la vulnerabilidad de ejecución remota de código (RCE) más grave encontrada por Rakhmanov. Permite que un usuario no autenticado obtenga un control completo sobre la instalación de SolarWinds del objetivo de forma remota, sin tener credenciales comprometidas disponibles, al encadenar la explotación de dos problemas diferentes que existen en la forma en que el sistema maneja los mensajes entrantes.
CVE-2021-25275 se encontró en el Rastreador de dispositivos de usuario basado en Orion y permite a un atacante iniciar sesión en SolarWinds localmente o mediante el Protocolo de escritorio remoto (RDP) y obtener una contraseña de texto sin formato para la base de datos back-end de la organización, desde donde puede filtrar datos o crear nuevas cuentas con derechos de administrador.
CVE-2021-25276, en el producto FTP Serv-U, es un error de control de acceso al directorio que permite que un usuario autenticado inicie sesión localmente o mediante RDP para crear un nuevo perfil de usuario con derechos de administrador.
«Trustwave informó los tres hallazgos a SolarWinds, y los parches se publicaron de manera muy oportuna», dijo Rakhmanov. “Queremos agradecer a SolarWinds por su asociación durante el proceso de divulgación. Recomendamos que los administradores actualicen lo antes posible «.
En el momento de redactar este artículo, los parches estaban disponibles para Orion Platform 2020 2.4 desde el 25 de enero, y hoy (3 de febrero) sigue un parche para Serv-U FTP 115.2.2 para coincidir con la divulgación pública. Estos se pueden obtener directamente de SolarWinds de la manera habitual.
Un portavoz de SolarWinds dijo a Computer Weekly: “Las vulnerabilidades de diversos grados son comunes en todos los productos de software, pero entendemos que existe un mayor escrutinio sobre SolarWinds en este momento. Se han abordado las vulnerabilidades anunciadas por Trustwave con respecto a Orion 2020.2.4.
“Siempre nos hemos comprometido a trabajar con nuestros clientes y otras organizaciones para identificar y remediar cualquier vulnerabilidad en nuestra cartera de productos de forma responsable. El anuncio de hoy se alinea con este proceso «.
Además de la investigación forense en curso sobre el ataque de diciembre de 2020, con la que está siendo asistido por CrowdStrike y KMPG, SolarWinds está trabajando actualmente en una revisión de la seguridad de sus productos, como lo detalló recientemente el CEO Sudhakar Ramakrishna.
Como parte de esto, se trata de: implementar nuevas herramientas de protección y detección de amenazas; analizar su entorno de desarrollo de productos para identificar la causa raíz del incumplimiento; volver a comprobar sus versiones compiladas para asegurarse de que coincidan con el código fuente original y volver a firmar todos sus productos con nuevos certificados digitales; y comunicarse con piratas informáticos éticos y probadores de penetración para identificar mejor cualquier otro problema.