CISA advirtió el jueves que los atacantes estaban explotando una vulnerabilidad crítica recientemente parcheada en la solución Web Help Desk de SolarWinds para soporte al cliente.
Web Help Desk (WHD) es un software de asistencia técnica de TI ampliamente utilizado por grandes empresas, agencias gubernamentales y organizaciones de atención médica y educativas en todo el mundo para centralizar, automatizar y optimizar las tareas de administración de la mesa de ayuda.
Seguimiento como CVE-2024-28986Esta falla de seguridad de deserialización de Java permite a los actores de amenazas obtener la ejecución remota de código en servidores vulnerables y ejecutar comandos en la máquina host después de una explotación exitosa.
SolarWinds lanzó un parche para esta vulnerabilidad el miércoles, un día antes de la advertencia de CISA. Sin embargo, la compañía no reveló información sobre la minería en la naturaleza, aunque recomendó que todos los administradores apliquen el parche a los dispositivos vulnerables.
“Aunque se informó como una vulnerabilidad no autenticada, SolarWinds no pudo reproducirla sin autenticación después de pruebas exhaustivas. Sin embargo, como precaución, recomendamos que todos los clientes de soporte web apliquen el parche, que ya está disponible”, dijo SolarWinds. dicho.
“WHD 12.8.3 Hotfix 1 no debe aplicarse si se utiliza el inicio de sesión único (SSO) de SAML. Pronto estará disponible un nuevo parche para resolver este problema. »
SolarWinds también lanzó un artículo de soporte con instrucciones detalladas sobre cómo aplicar y eliminar el parche, advirtiendo que los administradores deben actualizar los servidores vulnerables a Web Help Desk 12.8.3.1813 antes de instalar el parche.
La compañía recomienda crear copias de seguridad de los archivos originales antes de reemplazarlos durante el proceso de instalación para evitar posibles problemas si falla la implementación del parche o si el parche no se aplica correctamente.
CISA agregó CVE-2024-28986 a su catálogo ts KEV jueves, exigiendo a las agencias federales que actualicen sus servidores WHD en un plazo de tres semanas, hasta el 5 de septiembre, según lo exige la Directiva operativa vinculante (BOD) 22-01.
A principios de este año, SolarWinds también solucionó más de una docena de vulnerabilidades críticas de ejecución remota de código (RCE) en su software Access Rights Manager (ARM), ocho en julio y cinco en febrero.
En junio, la empresa de ciberseguridad GreyNoise advirtió que los malos actores ya estaban explotando una vulnerabilidad de recorrido de ruta de SolarWinds Serv-U, solo dos semanas después de que SolarWinds lanzara un parche y días después de que se publicaran pruebas de exploits en línea (PoC).
SolarWinds afirma que los productos de gestión de TI de la empresa son utilizados por más de 300.000 clientes en todo el mundo.