Opublikowano proof-of-concept (PoC) dla niedawno załatanej krytycznej luki w zabezpieczeniach SolarWinds Web Help Desk (CVE-2024-28987). Luka ta może być wykorzystana przez nieuwierzytelnionych atakujących do zdalnego odczytywania oraz modyfikowania wszystkich szczegółów zgłoszeń w systemie pomocy technicznej (helpdesk).
Luka CVE-2024-28987
Zach Hanley z Horizon3.ai, który odkrył i zgłosił lukę do SolarWinds, zauważa: „Podczas analizy narażenia naszych klientów stwierdziliśmy, iż organizacje często nieświadomie ujawniają poufne informacje o procedurach IT, takich jak rejestracja użytkowników, resetowanie haseł oraz dostęp do współdzielonych zasobów. Choć ta podatność nie prowadzi bezpośrednio do pełnego naruszenia bezpieczeństwa samego serwera WHD, odkryliśmy, iż istnieje wysokie ryzyko ataków lateralnych poprzez wykradzione poświadczenia”.
To poważne zagrożenie, ponieważ atakujący może uzyskać pełny dostęp do wrażliwych informacji bez potrzeby posiadania konta użytkownika ani wcześniejszej autoryzacji.
CVE-2024-28987 umożliwia ataki typu remote code execution (RCE), co oznacza, iż napastnik może wykonać dowolny kod w kontekście podatnego serwera, prowadząc do eskalacji uprawnień oraz pełnej kontroli nad systemem. Exploit oparty o tę lukę, który został opublikowany, daje cyberprzestępcom narzędzie do łatwego wykorzystania podatności, co dodatkowo zwiększa ryzyko ataków.
Ryzyko wykorzystania luki CVE-2024-28987
CVE-2024-28987 wynika z obecności zakodowanych na stałe danych logowania dewelopera, które umożliwiają atakującym wykonywanie operacji tworzenia, odczytu, aktualizacji i usuwania na określonych punktach końcowych systemu WHD.
Opublikowany PoC, dostępny teraz na GitHubie, pozwala na zrzucanie szczegółów ostatnich zgłoszeń do pomocy technicznej z podatnych serwerów. Poprawka dla luki CVE-2024-28987 została wydana miesiąc temu.
Zach Hanley z Horizon3.ai zwraca uwagę, iż w Internecie zidentyfikowano 827 instancji SolarWinds Web Help Desk (nam udało się zidentyfikować 814). Chociaż część z nich mogła zostać zaktualizowana i nie jest już podatna, przez cały czas istnieją instancje, które mogą być skutecznie zaatakowane.
„Aplikacja WHD jest szczególnie popularna w sektorze publicznym i edukacyjnym (SLED), jak wynika z naszej krótkiej analizy instancji udostępnionych w Internecie oraz naszej własnej bazy klientów” – podkreślił Hanley.
Podsumowanie
Administratorzy systemów korzystających z SolarWinds Web Help Desk powinni natychmiast zaktualizować oprogramowanie do najnowszej wersji, która zawiera poprawki eliminujące lukę, a także przeprowadzić dogłębną analizę logów w poszukiwaniu potencjalnych oznak kompromitacji.
