SolarWinds corrige falhas que permitiam controle total do sistema

A SolarWinds ficou conhecida mundialmente depois que seus sistemas foram invadidos em um ataque que afetou empresas e agências governamentais americanas. Nesta quarta-feira (3), a desenvolvedora de software anunciou correções nas três vulnerabilidades que permitiam que os invasores controlassem totalmente o sistema.

Todas as falhas de segurança foram detectadas por Martin Rakhmanov, pesquisador da Trustwave SpiderLabs. Duas delas estavam no Orion e a outra foi localizada em um produto conhecido como FTP Serv-U para Windows. Embora os bugs sejam classificados como graves, não há evidência de que eles foram explorados por invasores.

Nenhum caso de exploração das falhas encontradas nos produtos da SolarWinds foi detectado. Foto: wk1003mike/Shutterstock

Quais são as falhas de segurança

A primeira falha encontrada — e a mais grave das três — é conhecida como CVE-2021-25274. Ela se manifestava com o uso do Orion no Microsoft Message Queue, ferramenta com mais de 20 anos de existência que não é mais pré-instalada em equipamento que usam Windows.

Na prática, a CVE-2021-25274 garantia que usuários sem permissões executassem remotamente o código para controlar todo o sistema operacional adjacente. É uma vulnerabilidade tão grave que a Trustwave SpiderLabs escreveu um comunicado à parte sobre ela.

“O SolarWinds Collector Service usa o Microsoft Message Queue e não define permissões nas filas privadas. Como resultado, clientes remotos não autenticados podem enviar mensagens para o Collector Service processar. Nesse processo, ele permite a execução remota de código arbitrário, como o LocalSystem”, diz a nota.

A segunda vulnerabilidade do Orion foi chamada de CVE-2021-25275 e dava acesso a bancos de dados a “qualquer um”. Os arquivos tinham criptografia para proteger as senhas, mas o erro possibilitava que os invasores adquirissem um código que permitia convertê-las em texto simples. Assim, se o acesso ilegal fosse bem-sucedido, os criminosos poderiam obter todas as credenciais para acessar o SolarWindsOrionDatabaseUser.

Decodificação concedia acesso de invasores a bancos de dados da SolarWinds. Foto: Trustwave SpiderLabs

A terceira falha estava no FTP Serv-U para Windows. Intitulada CVE-2021-25276, ela possibilitava a criação de novos usuários autenticados no Windows. Isso permitia a substituição dos diretórios C:\ e de qualquer arquivo, bem como a leitura de documentos.

A SolarWinds informa que todas as vulnerabilidades foram corrigidas. Por isso, é recomendável que os usuários dos produtos Orion e FTP Serv-U para Windows obtenham os patches com as correções o mais rápido possível.

Via: Ars Technica

Esta post foi modificado pela última vez em 4 de fevereiro de 2021 20:25

Compartilhar
Deixe seu comentário
Publicado por
Igor Shimabukuro