CVE-2024-23476 & 23479: Pre-Authentication RCE Flaws Found in SolarWinds ARM
2024/02/16 SecurityOnline — 広く利用されている SolarWinds Access Rights Manager (ARM) に影響を及ぼす危険な脆弱性群を、セキュリティ研究者たちが発見した。公開された5件の脆弱性のうちの3件には、認証を必要としないリモートコード実行の可能性があり、ログイン認証をバイパスした攻撃者に、脆弱なシステムの制御が奪われることを意味する。SolarWinds が呼びかけているのは、すべての ARM ユーザーが、これらの脆弱性に対して、優先的にパッチを適用することだ。
@chudypb としても知られる Piotr Bazydlo と、匿名の研究者の両名が公表した5件の脆弱性は、SolarWinds ARM にとって重大な脅威となる。そのうちの3件の脆弱性 CVE-2024-23476 (CVSS 9.6)/CVE-2024-23477 (CVSS 7.9)/CVE-2024-23479 (CVSS 9.6) は、認証なしでリモート・コード実行を可能にするため要注意であり、企業システムの完全性とセキュリティに対する重大なリスクとなる。
これらのディレクトリ・トラバーサルの脆弱性は、脆弱な ARM サーバ上でリモートでのコード実行を可能にする。有効なログイン情報がなくても、これらの脆弱性の悪用に成功した攻撃者は、 システムの完全な乗っ取りを達成することが可能となる。
その他の2件の脆弱性 CVE-2023-40057 (CVSS 9.0)/CVE-2024-23478 (CVSS 8.0) は、認証を必要とするが、リモート・コード実行を許すものである。したがって、すでにアクセス権を持つ攻撃者であれば、これらの脆弱性を悪用して特権を昇格させ、さらに大混乱を引き起こす可能性を持つ。
同社のアドバイザリには、「SolarWinds Access Rights Manager (ARM) には、ディレクトリ・トラバーサルに起因する、リモートコード実行の脆弱性が存在する。この脆弱性が悪用されると、未認証のユーザーによるリモートコード実行が可能になる」と記されている。
標的となるシステム上で、攻撃者がリモートからコードを実行する能力は、広範囲に及ぶ攻撃を達成し、きわめて有害な結果をもたらす。攻撃者は、以下の行為を行う可能性が生じる:
- マルウェア/ランサムウェアのインストール
- 機密データの窃盗
- 重要な業務の妨害
- 接続されたネットワークへの攻撃
SolarWinds は、ARM のバージョン 2023.2.3 における、5件の脆弱性の修正を確認している。Access Rights Manager を利用している組織は、これらのパッチを最優先で適用する必要がある。これらの脆弱性が悪用された証拠はないが、迅速なパッチ適用が重要な事前防御となる。サイバー脅威が高度化し、その範囲が拡大し続ける中、組織が積極的に取り組むべきことは、IT インフラ内の脆弱性の特定/対処である。
SolarWinds Access Rights Manager (ARM) に深刻な脆弱性が発見されました。公開された5件の脆弱性のうちの3件には、認証を必要としないリモートコード実行の可能性があるとのことなので、ご利用のチームは、ご注意してください。よろしければ、SolarWinds で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.