SolarWinds hat Fehlerbehebungen für zwei Sicherheitslücken in seiner Software Access Rights Manager (ARM) veröffentlicht, darunter eine kritische Schwachstelle, die zu Remotecodeausführung führen könnte.
Die Schwachstelle mit der Kennung CVE-2024-28991 wird im CVSS-Bewertungssystem mit 9,0 von maximal 10,0 Punkten bewertet. Sie wurde als Instanz der Deserialisierung nicht vertrauenswürdiger Daten beschrieben.
„Es wurde festgestellt, dass SolarWinds Access Rights Manager (ARM) anfällig für eine Sicherheitslücke bezüglich Remotecodeausführung ist“, teilte das Unternehmen in einem Sicherheitshinweis mit. „Bei erfolgreicher Ausnutzung würde diese Sicherheitslücke es einem authentifizierten Benutzer ermöglichen, den Dienst zu missbrauchen, was zu Remotecodeausführung führen würde.“
Dem Sicherheitsforscher Piotr Bazydlo von der Trend Micro Zero Day Initiative (ZDI) wurde die Entdeckung und Meldung des Fehlers am 24. Mai 2024 zugeschrieben.
Die ZDI, die dem Fehler einen CVSS-Score von 9,9 zugewiesen hat, gab an, dass er innerhalb einer Klasse namens JsonSerializationBinder existiert und auf eine fehlende ordnungsgemäße Validierung von vom Benutzer bereitgestellten Daten zurückzuführen ist, wodurch ARM-Geräte einer Deserialisierungsschwachstelle ausgesetzt sind, die dann zur Ausführung von beliebigem Code missbraucht werden könnte.
„Obwohl für die Ausnutzung dieser Sicherheitslücke eine Authentifizierung erforderlich ist, kann der vorhandene Authentifizierungsmechanismus umgangen werden“, so die ZDI.
Ebenfalls von SolarWinds behoben wird ein Fehler mittlerer Sicherheitsrelevanz in ARM (CVE-2024-28990, CVSS-Score: 6,3), der hartcodierte Anmeldeinformationen offenlegte, die bei erfolgreicher Ausnutzung unbefugten Zugriff auf die RabbitMQ-Verwaltungskonsole ermöglichen könnten.
Beide Probleme wurden in ARM Version 2024.3.1 behoben. Obwohl es derzeit keine Hinweise auf eine aktive Ausnutzung der Sicherheitslücken gibt, wird Benutzern empfohlen, so bald wie möglich auf die neueste Version zu aktualisieren, um sich vor potenziellen Bedrohungen zu schützen.