Vulnerabilidad en SolarWinds Web Help Desk
El 9 de agosto de 2024, SolarWinds dio a conocer, a través de un aviso de seguridad, una vulnerabilidad denominada CVE-2024-28986 (Score de 9.8) de severidad critica en su software Web Help Desk (WHD), el cual es una herramienta de automatización de tickets para el servicio de mesa de ayuda en las organizaciones, permitiendo centralizar y gestionar las tareas de administración. [1]
La vulnerabilidad es un fallo de seguridad de deserialización de Java, permitiendo a actores maliciosos ejecutar código de manera remota en servidores vulnerables y ejecutar comandos en el dispositivo host.[2]
El hotfix añade un archivo JAR en una subcarpeta de la carpeta raíz de WHD y modifica otros dos archivos. Aun así, se requiere que el usuario modifique manualmente un archivo en la configuración de directorios del producto. Los detalles específicos pueden encontrarse en el aviso de SolarWinds. [2]
Aunque la compañía no reveló si esta vulnerabilidad estaba siendo explotada activamente, dos días después, la agencia de ciberseguridad de EE. UU. (CISA) informó que estaba siendo explotada por atacantes y añadió la vulnerabilidad al catálogo de “Known Exploited Vulnerabilities (KEV)”, basándose en evidencia de explotación activa, según reportó la CISA. No se dieron más detalles de la explotación por parte de la agencia, pero se especula que se está explotando como una vulnerabilidad de tipo Zero-Day. [2]
Al igual que SolarWinds, la CISA también recomendó que los clientes parcheen WHD lo antes posible. [2]
Versiones Afectadas
|
Software |
Versión |
|
SolarWinds Web Help Desk |
12.8.3 y todas las versiones anteriores |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Gatlan, S. (2024, Agosto 16) CISA warns critical SolarWinds RCE bug is exploited in attacks. Recuperado el 16 de Agosto del 2024 en: https://www.bleepingcomputer.com/news/security/cisa-warns-critical-solarwinds-rce-bug-is-exploited-in-attacks/
- Arghire, I. (2024, Agosto 16) SolarWinds Web Help Desk Vulnerability Possibly Exploited as Zero-Day. Recuperado el 16 de Agosto del 2024 en: https://www.securityweek.com/solarwinds-web-help-desk-vulnerability-possibly-exploited-as-zero-day/
- SolarWinds (2024, Agosto 9) SolarWinds Web Help Desk Java Deserialization Remote Code Execution Vulnerability (CVE-2024-28986). Recuperado el 16 de Agosto del 2024 en: https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986
.jpg)
