Olhar Digital > Notícias > SolarWinds corrige falhas que permitiam controle total do sistema

SolarWinds corrige falhas que permitiam controle total do sistema

Por Igor Shimabukuro, editado por Roseli Andrion 04/02/2021 20h25
Fachada da SolarWinds
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A SolarWinds ficou conhecida mundialmente depois que seus sistemas foram invadidos em um ataque que afetou empresas e agências governamentais americanas. Nesta quarta-feira (3), a desenvolvedora de software anunciou correções nas três vulnerabilidades que permitiam que os invasores controlassem totalmente o sistema.

Todas as falhas de segurança foram detectadas por Martin Rakhmanov, pesquisador da Trustwave SpiderLabs. Duas delas estavam no Orion e a outra foi localizada em um produto conhecido como FTP Serv-U para Windows. Embora os bugs sejam classificados como graves, não há evidência de que eles foram explorados por invasores.

Falha de segurança
Nenhum caso de exploração das falhas encontradas nos produtos da SolarWinds foi detectado. Foto: wk1003mike/Shutterstock

Quais são as falhas de segurança

A primeira falha encontrada — e a mais grave das três — é conhecida como CVE-2021-25274. Ela se manifestava com o uso do Orion no Microsoft Message Queue, ferramenta com mais de 20 anos de existência que não é mais pré-instalada em equipamento que usam Windows.

Na prática, a CVE-2021-25274 garantia que usuários sem permissões executassem remotamente o código para controlar todo o sistema operacional adjacente. É uma vulnerabilidade tão grave que a Trustwave SpiderLabs escreveu um comunicado à parte sobre ela.

“O SolarWinds Collector Service usa o Microsoft Message Queue e não define permissões nas filas privadas. Como resultado, clientes remotos não autenticados podem enviar mensagens para o Collector Service processar. Nesse processo, ele permite a execução remota de código arbitrário, como o LocalSystem”, diz a nota.

A segunda vulnerabilidade do Orion foi chamada de CVE-2021-25275 e dava acesso a bancos de dados a “qualquer um”. Os arquivos tinham criptografia para proteger as senhas, mas o erro possibilitava que os invasores adquirissem um código que permitia convertê-las em texto simples. Assim, se o acesso ilegal fosse bem-sucedido, os criminosos poderiam obter todas as credenciais para acessar o SolarWindsOrionDatabaseUser.

Vulnerabilidade encontrada em um dos produtos da SolarWinds
Decodificação concedia acesso de invasores a bancos de dados da SolarWinds. Foto: Trustwave SpiderLabs

A terceira falha estava no FTP Serv-U para Windows. Intitulada CVE-2021-25276, ela possibilitava a criação de novos usuários autenticados no Windows. Isso permitia a substituição dos diretórios C:\ e de qualquer arquivo, bem como a leitura de documentos.

A SolarWinds informa que todas as vulnerabilidades foram corrigidas. Por isso, é recomendável que os usuários dos produtos Orion e FTP Serv-U para Windows obtenham os patches com as correções o mais rápido possível.

Via: Ars Technica

Redator(a)

Igor Shimabukuro é redator(a) no Olhar Digital

Redator(a)

Roseli Andrion é redator(a) no Olhar Digital

Ícone tagsTags: