SolarWinds corrige falhas que permitiam controle total do sistema

Siga o Olhar Digital no Google Discover

A SolarWinds ficou conhecida mundialmente depois que seus sistemas foram invadidos em um ataque que afetou empresas e agências governamentais americanas. Nesta quarta-feira (3), a desenvolvedora de software anunciou correções nas três vulnerabilidades que permitiam que os invasores controlassem totalmente o sistema.

Ofertas

Vendido por Amazon

Patriot Viper Gaming V570 RGB Blackout Edition Pro Laser Mouse até 12.000 Dpi

Por R$ 99,00

Vendido por Amazon

soundcore Q20i da Anker, Fone de Ouvido Bluetooth com Cancelamento de Ruído Híbrido Ativo, Headphone Sem Fio, 60h Bateria, Áudio Hi-Res, Graves Potentes, App Personalização, Modo Transparência, Azul

Por R$ 311,29

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Rosa)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (preto)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Smart TV TCL 43 Polegadas LED Full HD S5400A Android TV WiFi Bluetooth Google Assistente 43S5400A

De: R$ 1.899,00
Por: R$ 1.449,99

Vendido por Amazon

Garmin Relógio Instinct 3 Verde 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 5.899,00
Por: R$ 3.799,00

Vendido por Amazon

SEMP SMART TV 55” 55S62 4K UHD GOOGLE TV

De: R$ 2.499,00
Por: R$ 1.999,99

Vendido por Amazon

Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais

De: R$ 1.199,00
Por: R$ 999,00

Vendido por Amazon

soundcore AeroClip da Anker, Fones de Ouvido Blutooth Abertos, Clip-On, Conforto Adaptativo, Chamadas Claras com 4 Microfones e IA, Ajuste Estável, Drivers de 12mm para Graves Potentes, Rosa

De: R$ 1.199,00
Por: R$ 889,00

Vendido por Amazon

Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa

De: R$ 123,90
Por: R$ 79,90

Vendido por Amazon

Mouse Sem Fio Logitech M240 com Conexão Bluetooth, Clique Silencioso, Design Ambidestro Compacto, Bateria de 18 Meses, Compatível com Windows, macOS, ChromeOS - Branco

De: R$ 95,90
Por: R$ 59,90

Vendido por Amazon

Samsung Smart TV 75" Crystal UHD 4K U8100F 2025

De: R$ 5.299,99
Por: R$ 4.460,93

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Projetor BYINTEK U14 4K 1080P WiFi Smart Full HD Projetor, Foco Automático, 1250 ANSI Lumens, Totalmente Selado à Prova de Poeira, Alto-falante Integrado de 12 W, Home Theater móvel

De: R$ 1.799,00
Por: R$ 1.709,05

Todas as falhas de segurança foram detectadas por Martin Rakhmanov, pesquisador da Trustwave SpiderLabs. Duas delas estavam no Orion e a outra foi localizada em um produto conhecido como FTP Serv-U para Windows. Embora os bugs sejam classificados como graves, não há evidência de que eles foram explorados por invasores.

Quais são as falhas de segurança

A primeira falha encontrada — e a mais grave das três — é conhecida como CVE-2021-25274. Ela se manifestava com o uso do Orion no Microsoft Message Queue, ferramenta com mais de 20 anos de existência que não é mais pré-instalada em equipamento que usam Windows.

Na prática, a CVE-2021-25274 garantia que usuários sem permissões executassem remotamente o código para controlar todo o sistema operacional adjacente. É uma vulnerabilidade tão grave que a Trustwave SpiderLabs escreveu um comunicado à parte sobre ela.

“O SolarWinds Collector Service usa o Microsoft Message Queue e não define permissões nas filas privadas. Como resultado, clientes remotos não autenticados podem enviar mensagens para o Collector Service processar. Nesse processo, ele permite a execução remota de código arbitrário, como o LocalSystem”, diz a nota.

A segunda vulnerabilidade do Orion foi chamada de CVE-2021-25275 e dava acesso a bancos de dados a “qualquer um”. Os arquivos tinham criptografia para proteger as senhas, mas o erro possibilitava que os invasores adquirissem um código que permitia convertê-las em texto simples. Assim, se o acesso ilegal fosse bem-sucedido, os criminosos poderiam obter todas as credenciais para acessar o SolarWindsOrionDatabaseUser.

A terceira falha estava no FTP Serv-U para Windows. Intitulada CVE-2021-25276, ela possibilitava a criação de novos usuários autenticados no Windows. Isso permitia a substituição dos diretórios C:\ e de qualquer arquivo, bem como a leitura de documentos.

A SolarWinds informa que todas as vulnerabilidades foram corrigidas. Por isso, é recomendável que os usuários dos produtos Orion e FTP Serv-U para Windows obtenham os patches com as correções o mais rápido possível.

Via: Ars Technica