Gần đây, SolarWinds đã tiết lộ và vá một lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa (RCE) trong giải pháp Security Event Manager (SEM) của mình. Lỗ hổng này được định danh với mã CVE-2024-0692, có thể cho phép những kẻ tấn công không cần xác thực có thể chiếm quyền kiểm soát hoàn toàn các cài đặt SEM có lỗ hổng, có thể mở ra cánh cửa cho những cuộc tấn công khác trong mạng của bạn.
SolarWinds Security Event Manager (SEM) là một công cụ SIEM mạnh mẽ được các tổ chức trên toàn thế giới sử dụng để tổng hợp và phân tích các sự kiện bảo mật trên hạ tầng của họ. Nó cung cấp một nền tảng tập trung cho việc thu thập log, phát hiện các mối đe dọa và ứng phó với các sự cố, nhằm cải thiện tình trạng bảo mật tổng thể của tổ chức.
Lỗ hổng CVE-2024-0692 với nguyên nhân chính nằm trong cách xử lý không đúng các dữ liệu không đáng tin cậy trong SEM. Do việc xác thực không đầy đủ, các tác nhân đe dọa có thể khai thác lỗ hổng này để chèn mã độc hại – một quá trình được gọi là deserialization – và thực thi nó trên hệ thống mục tiêu.
“Sự cố này cho phép một người dùng không xác thực có thể lạm dụng dịch vụ của SolarWinds, dẫn đến việc thực thi mã từ xa,” theo SolarWinds.
Mức độ nghiêm trọng của lỗ hổng này được nhấn mạnh bởi điểm CVSS là 8.8. Nếu kẻ tấn công khai thác thành công, chúng có thể:
- Xâm phạm các dữ liệu nhạy cảm
- Chèn thêm phần mềm độc hại
- Làm gián đoạn các hoạt động quan trọng
- Di chuyển sang các hệ thống khác trong mạng
Giải Pháp: SolarWinds đã phát hành phiên bản Security Event Manager 2023.4.1, giải quyết lỗ hổng này. Các tổ chức sử dụng SEM phải ưu tiên cập nhật phần mềm của họ ngay lập tức.