Plataforma
windows
Componente
access-rights-manager
Corregido en
2023.2.3
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en SolarWinds Access Rights Manager (ARM) debido a un fallo de Directory Traversal. Esta vulnerabilidad permite a un atacante no autenticado ejecutar código en el sistema afectado, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. Las versiones de ARM afectadas son aquellas anteriores o iguales a 2023.2.2. SolarWinds ha lanzado una actualización para solucionar este problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado ejecutar comandos arbitrarios en el servidor de Access Rights Manager. Esto podría resultar en la toma de control completa del sistema, el acceso a información confidencial, la modificación de datos críticos y la propagación a otros sistemas dentro de la red. Dada la naturaleza crítica de Access Rights Manager en la gestión de privilegios, el impacto de esta vulnerabilidad es significativo y podría afectar a la seguridad de toda la organización. La falta de autenticación requerida para la explotación amplía considerablemente el radio de explosión, permitiendo a atacantes externos comprometer fácilmente el sistema. Un ataque exitoso podría imitar patrones de explotación similares a los observados en otras vulnerabilidades de Directory Traversal, permitiendo el acceso a archivos sensibles y la ejecución de código malicioso.
Esta vulnerabilidad ha sido publicada públicamente el 15 de febrero de 2024. La severidad de CVSS 9.6 indica un alto riesgo de explotación. No se ha confirmado la explotación activa en el mundo real, pero la falta de autenticación requerida para la explotación sugiere una alta probabilidad de que sea explotada en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad. La vulnerabilidad se encuentra en el catálogo KEV de CISA, lo que indica su importancia para la seguridad nacional.
Organizations heavily reliant on SolarWinds Access Rights Manager for access control, particularly those with legacy configurations or deployments that haven't been regularly patched, are at significant risk. Shared hosting environments where multiple tenants share the same ARM instance are also particularly vulnerable, as a compromise of one tenant could potentially impact others.
• windows / supply-chain:
Get-Process -Name "AccessRightsManager" | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001" -MaxEvents 10 | Select-String -Pattern "AccessRightsManager"• windows / supply-chain: Check Autoruns for unusual entries related to Access Rights Manager. • windows / supply-chain: Use Sysinternals Process Monitor to observe file access patterns for Access Rights Manager, looking for attempts to access unexpected directories.
disclosure
patch
Estado del Exploit
EPSS
1.30% (80% percentil)
Vector CVSS
La solución principal es actualizar Access Rights Manager a la versión 2023.2.2 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Restrinja el acceso a la red al servidor de Access Rights Manager, permitiendo únicamente el tráfico necesario. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Revise y endurezca la configuración del servidor para limitar los privilegios de la cuenta utilizada por el servicio de Access Rights Manager. Monitoree los registros del sistema en busca de actividad inusual, como intentos de acceso a archivos no autorizados. No se han publicado firmas Sigma o YARA específicas para esta vulnerabilidad, pero se recomienda monitorear el tráfico de red en busca de patrones de Directory Traversal.
Actualice SolarWinds Access Rights Manager a la última versión disponible proporcionada por el proveedor. Consulte el advisory de seguridad de SolarWinds para obtener instrucciones específicas sobre la actualización y las versiones corregidas. Aplique las mitigaciones recomendadas por SolarWinds si una actualización inmediata no es posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-23479 es una vulnerabilidad de Ejecución Remota de Código (RCE) en SolarWinds Access Rights Manager debido a un fallo de Directory Traversal que permite a atacantes no autenticados ejecutar código.
Sí, si está utilizando una versión de SolarWinds Access Rights Manager anterior o igual a 2023.2.2, es vulnerable a esta vulnerabilidad.
Actualice Access Rights Manager a la versión 2023.2.2 o superior. Si la actualización no es posible, aplique las mitigaciones temporales recomendadas.
Aunque no se ha confirmado la explotación activa, la falta de autenticación requerida para la explotación sugiere una alta probabilidad de que sea explotada en el futuro.
Consulte el sitio web de SolarWinds para obtener la información oficial y las actualizaciones sobre esta vulnerabilidad: [https://www.solarwinds.com/security-advisories](https://www.solarwinds.com/security-advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.