أصدرت شركة SolarWinds إصلاحات لمعالجة ثغرتين أمنيتين في برنامج Access Rights Manager (ARM)، بما في ذلك ثغرة أمنية حرجة قد تؤدي إلى تنفيذ تعليمات برمجية عن بُعد.
الثغرة الأمنية، تعقبها CVE-2024-28991، تم تصنيفها بـ 9.0 من أصل 10.0 كحد أقصى في نظام تسجيل CVSS. وقد تم وصفه كمثال لإلغاء تسلسل البيانات غير الموثوق بها.
“تبين أن SolarWinds Access Rights Manager (ARM) عرضة لثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد،” الشركة قال في استشارة. “إذا تم استغلال هذه الثغرة الأمنية، فإنها ستسمح للمستخدم المعتمد بإساءة استخدام الخدمة، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بعد.”
يُنسب إلى الباحث الأمني بيوتر بازيدلو من مبادرة Trend Micro Zero Day (ZDI) اكتشاف الخلل والإبلاغ عنه في 24 مايو 2024.
قال ZDI، الذي أعطى النقص درجة CVSS 9.9، إنه موجود ضمن نطاق فصل يسمى JsonSerializationBinder وينبع من عدم التحقق المناسب من البيانات المقدمة من المستخدم، وبالتالي تعريض أجهزة ARM لثغرة أمنية في إلغاء التسلسل والتي يمكن بعد ذلك إساءة استخدامها لتنفيذ تعليمات برمجية عشوائية.
“على الرغم من أن المصادقة مطلوبة لاستغلال هذه الثغرة الأمنية، إلا أنه يمكن تجاوز آلية المصادقة الحالية،” ZDI قال.
كما تناولت SolarWinds أيضًا عيبًا متوسط الخطورة في ARM (CVE-2024-28990، درجة CVSS: 6.3) التي كشفت عن بيانات اعتماد مضمنة والتي، إذا تم استغلالها بنجاح، يمكن أن تسمح بالوصول غير المصرح به إلى وحدة تحكم إدارة RabbitMQ.
وقد تم تصحيح كلتا القضيتين نسخة أرم 2024.3.1. على الرغم من عدم وجود أي دليل حاليًا على الاستغلال النشط لنقاط الضعف، إلا أنه يُنصح المستخدمون بالتحديث إلى الإصدار الأحدث في أقرب وقت ممكن للحماية من التهديدات المحتملة.
يأتي التطوير كما حدث مع D-Link حلها ثلاث ثغرات أمنية خطيرة تؤثر على أجهزة التوجيه DIR-X4860، وDIR-X5460، وCOVR-X1870 (CVE-2024-45694، وCVE-2024-45695، وCVE-2024-45697، ودرجات CVSS: 9.8) والتي يمكن أن تمكن التنفيذ عن بعد لتعليمات برمجية عشوائية وأوامر النظام.
