PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)
2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。
この脆弱性の発見/報告した Horizon3.ai の Zach Hanley は、「当社の顧客のエクスポージャーを評価したところ、ユーザーのオンボーディング/パスワードリセット/共有リソースへのアクセスなどの、IT 手順に関する機密性の高いプロセス情報を、一般的に公開しているが組織があることが分かった。この脆弱性は、WHD サーバ自体を完全に侵害するものではないが、認証情報の窃取を介した横移動のリスクが高いことが分かった」と説明している。
CVE-2024-28987 の悪用リスク
脆弱性 CVE-2024-28987 は、開発者ログイン認証情報がハードコードされていることに起因する。この脆弱性の悪用に成功した攻撃者は、特定の WHD エンドポイント上で、認証情報の作成/読取/更新/削除などを達成する可能性を持つ。
GitHub で公開されている PoC は、脆弱なサーバ上でチケットの詳細をダンプするために開発されたものだ。
前述のとおり、2024年8月の時点で SolarWinds は、脆弱性 CVE-2024-28987 に対する修正プログラムをリリースしている。
Zach Hanley によると、インターネット上でアクセス可能な SolarWinds Web Help Desk のインスタンスは、827件ほど確認されているという。ただし、その一部はアップデート済みであるため、この脆弱性による攻撃は受けないが、依然としてパッチが未適用であり、攻撃対象となり得るものも存在するだろう。
彼は、「WHD アプリケーションには、インターネットに公開されているものがある。また、当社の顧客ベースを簡単に調べたところによると、州政府/自治体/教育などの市場で人気があるようだ」と指摘している。
また、先日にパッチが適用された別の SolarWinds WHD の脆弱性 CVE-2024-28986 に関しては、攻撃者による積極的な悪用が確認されている。SolarWinds WHD のユーザーに対して強く推奨されるのは、攻撃者がヘルプデスクのチケットを探索し始める前に、最新のバージョンへと更新することである。
SolarWinds WHD の脆弱性 CVE-2024-28987 ですが、第一報は 2024/08/21 の「SolarWinds Web Help Desk の脆弱性 CVE-2024-28987 が FIX:ただちにアップデートを!」となっています。それから1ヶ月あまりが経ち、Horizon3.ai から技術的な詳細資料と PoC エクスプロイトが提供されました。現時点では、悪用は報告されていないようですが、ご利用のチームは、十分に お気をつけください。よろしければ、SolarWinds で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.