Una vulnerabilità critica è stata scoperta nel Web Help Desk (WHD) di SolarWinds e, come riportato dall’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA), è sfruttata da criminali informatici. Questo problema di sicurezza è stato aggiunto al Catalogo delle Vulnerabilità Sfruttate (KEV) di CISA, indicandolo come una minaccia significativa che richiede un’attenzione immediata.

La vulnerabilità, identificata come CVE-2024-28987 con un punteggio di 9,1 sulla scala di gravità CVSS, riguarda una credenziale di login hardcoded (preimpostata) integrata nel WHD, che consente agli attaccanti remoti non autenticati di accedere ai sistemi vulnerabili. La vulnerabilità permette agli hacker di accedere ai sistemi WHD non protetti, utilizzare funzionalità interne e modificare dati sensibili. 

SolarWinds, già nota per l’attacco alla supply chain legato al suo software Orion utilizzato da organizzazioni pubbliche e private in tutto il mondo, ha risolto questo problema alla fine di agosto 2024, ma i dettagli sull’entità dello sfruttamento attuale della vulnerabilità non sono stati resi pubblici. In una dichiarazione a The Register, un portavoce di SolarWinds ha affermato che non sono stati rilevati attacchi contro le versioni aggiornate del software e ha incoraggiato i clienti a installare l’aggiornamento WHD 12.8.3 HF2.

CISA ha confermato la vulnerabilità, ma non ha fornito ulteriori dettagli su come questa sia stata sfruttata dai malintenzionati, al di là delle informazioni disponibili nel catalogo KEV.

solarwinds

La vulnerabilità interessa tutte le versioni precedenti alla WHD 12.8.3 HF2, inclusa la 12.8.3 HF1, e, per risolvere il problema, è necessario installare manualmente la patch. Al momento, ci sono ancora circa 827 istanze di Web Help Desk esposte pubblicamente su internet, secondo Zach Hanley, un ricercatore di vulnerabilità di Horizon3.ai che ha individuato e segnalato il problema a SolarWinds.

Hanley ha sottolineato che, nell’analisi dei sistemi dei suoi clienti, è emerso che le organizzazioni esponevano spesso informazioni sensibili relative ai processi IT, come la gestione delle credenziali e delle risorse condivise. Sebbene questa vulnerabilità non permetta il completo compromesso del server WHD, il rischio di movimenti laterali attraverso le credenziali acquisite è elevato.

Il Web Help Desk di SolarWinds è ampiamente utilizzato da governi locali e statali, nonché nel settore dell’istruzione, rendendo l’esposizione di questa vulnerabilità ancora più preoccupante.