Pelanggan SolarWinds didorong untuk menerapkan tambalan keamanan yang baru dirilis menyusul penemuan tiga kerentanan serius yang sebelumnya dirahasiakan yang dapat memungkinkan penyerang menyalahgunakan alat administrasi TI perusahaan yang mengambil kendali sistem Windows.
Pengungkapan dua kerentanan di SolarWinds Orion dan satu di SolarWinds Serv-U FTP muncul setelah penemuan pada bulan Desember bahwa SolarWinds telah diretas – mungkin oleh operasi Rusia – dan pembaruan perangkat lunaknya dikompromikan untuk mendistribusikan malware ke 18.000 pelanggan Orion. .
Peretasan tersebut merupakan bagian dari kampanye yang lebih luas terhadap vendor teknologi lain yang mewakili salah satu insiden dunia maya terbesar dalam beberapa tahun terakhir dan mengarahkan peneliti keamanan siber Trustwave untuk memeriksa lebih lanjut produk SolarWinds untuk mengetahui kerentanan lebih lanjut – dan mereka menemukan sekitar tiga.
Kerentanan yang paling parah (CVE-2021-25275) dapat memungkinkan penyerang untuk mengeksploitasi kerentanan dalam operasi Orion dengan Microsoft Message Queue (MSMQ) untuk mengakses kredensial aman di backend dan mendapatkan kontrol penuh atas seluruh server Windows. Ini dapat digunakan untuk mencuri informasi atau menambah pengguna level admin baru ke Orion.
Kerentanan kedua (CVE-2021-25274) dapat memungkinkan pengguna jarak jauh yang tidak diautentikasi untuk mengeksekusi kode dengan cara yang memungkinkan kontrol penuh dari sistem operasi Windows yang mendasarinya. Sekali lagi ini dapat menyebabkan akses tidak sah ke sistem dan server sensitif.
Kerentanan ketiga (CVE-2021-25276) terkait dengan SolarWinds Serv-U FTP dan memungkinkan siapa saja yang dapat masuk secara lokal, atau dari jarak jauh melalui RDP, untuk menambahkan akun administrator dan semua hak istimewa yang diperlukan ketika datang untuk mengakses jaringan dan server, berpotensi memberikan akses penyerang ke informasi rahasia.
“Semua kerentanan ini berpotensi membahayakan server Windows yang menjalankan perangkat lunak berharga,” kata manajer intelijen ancaman Trustwave Karl Sigler kepada ZDNet.
“Orion tidak seperti Office suite, tetapi digunakan oleh administrator jaringan dan orang lain dengan banyak hak istimewa dan akses ke data berharga di jaringan,” kata Sigler.
Trustwave mengungkapkan temuan mereka ke SolarWinds dan patch keamanan telah dirilis untuk menutup kerentanan dan mencegahnya dieksploitasi.
“Kerentanan dalam berbagai tingkat umum terjadi di semua produk perangkat lunak, tetapi kami memahami bahwa ada lebih banyak kontrol atas SolarWinds saat ini. Kerentanan yang diumumkan oleh Trustwave terkait Orion 2020.2.4 telah diatasi dalam perbaikan yang dirilis pada tanggal 25 Januari 2021. Kerentanan terkait dengan Serv-U 115.2.2 akan ditangani melalui perbaikan yang dirilis pada 3 Februari 2021, “kata juru bicara SolarWinds kepada ZDNet.
“Kami selalu berkomitmen untuk bekerja dengan pelanggan kami dan organisasi lain untuk mengidentifikasi dan memulihkan setiap kerentanan dalam portofolio produk kami secara bertanggung jawab. Pengumuman hari ini selaras dengan proses ini,” tambah mereka.
Saat ini tidak ada bukti bahwa penyerang dunia maya berhasil menggunakan kerentanan ini.
“Kami tidak pernah dapat mengatakan seratus persen bahwa ini tidak dieksploitasi secara alami, tetapi saya pikir kami mengalahkan orang jahat di sini. Saya pikir kami dapat menemukan mereka sebelum mereka melakukannya dan mudah-mudahan memperbaiki orang jahat. Tambalan sebelumnya mereka belajar untuk mengeksploitasinya, ”kata Sigler.
Oleh karena itu, organisasi direkomendasikan untuk memiliki strategi untuk menerapkan patch keamanan yang diperlukan untuk melindungi diri mereka dari tiga kerentanan yang baru diungkapkan secepat mungkin.