Découverte de failles critiques dans SolarWinds ARM

Des failles critiques RCE découvertes dans SolarWinds ARM

Failles RCE critiques trouvées dans la solution d’audit d’accès SolarWinds. Les chercheurs en sécurité ont découvert trois vulnérabilités critiques d’exécution de code à distance dans le produit SolarWinds Access Rights Manager (ARM) que des attaquants distants pourraient utiliser pour exécuter du code avec les privilèges SYSTEM. SolarWinds ARM est un outil qui permet aux organisations de gérer et d’auditer les droits d’accès des utilisateurs dans leurs environnements informatiques. Il offre l’intégration de Microsoft Active Directory, un contrôle d’accès basé sur les rôles, un retour visuel et bien plus encore.  SolarWinds a publié cette semaine un avis décrivant les huit vulnérabilités et leur indice de gravité, tels qu’évalués par l’entreprise.

Les exigences de conformité imposées par le RGPD, PCI, HIPAA et d’autres mandats nécessitent une surveillance détaillée des accès des utilisateurs, en particulier pour les utilisateurs qui ont accès à des données critiques et sensibles. SolarWinds ® Access Rights Manager (ARM) est conçu pour fournir des rapports Active Directory (AD) et Azure AD personnalisés, indiquant qui a accès à quoi et quand ils ont accédé à ces données.

Une vulnérabilité a été identifiée dans Serv-U 15.4 qui, si elle est exploitée, permet à un acteur de contourner l’authentification multifacteur/à deux facteurs. L’acteur doit disposer d’un accès de niveau administrateur à Serv-U pour effectuer cette action.


L'authentification multifacteur (MFA) est une méthode d'authentification électronique dans laquelle un utilisateur n'est autorisé à accéder à un site Web ou à une application qu'après avoir présenté avec succès deux éléments de preuve ou plus à un mécanisme d'authentification : connaissance, possession et héritage. L’authentification multifacteur ajoute une couche de protection au processus de connexion. Pour accéder à leurs comptes ou à des applications, les utilisateurs doivent confirmer leur identité, par exemple en scannant leur empreinte ou en entrant un code reçu par téléphone. Azure AD propose des méthodes d’authentification multifacteur (MFA) variées et flexibles (par exemple, SMS, appels, biométrie et codes secret à usage unique) pour répondre aux besoins spécifiques de votre organisation et protéger vos utilisateurs. Les pirates développent des solutions capables de contourner les protections MFA à la fois avec des outils de phishing mais aussi avec les attaques croissantes du proxy inverse.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


SolarWinds est une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique.SolarWinds, une plateforme de gestion informatique renommée, offre des solutions de surveillance et de gestion des réseaux, des serveurs, des applications et de la sécurité. Elle fournit aux entreprises une visibilité complète sur leur infrastructure informatique, permettant une gestion proactive des performances et des menaces potentielles. Avec ses fonctionnalités avancées de détection d'anomalies et de réponse aux incidents, SolarWinds aide les organisations à maintenir la disponibilité, la fiabilité et la sécurité de leurs systèmes informatiques essentiels.

En décembre 2020, SolarWinds a été au centre d'une cyberattaque massive, désignée sous le nom de "Sunburst" ou "Solorigate". Cette attaque a été orchestrée par des acteurs étatiques, attribués par les États-Unis à la Russie. Les attaquants ont infiltré le réseau de SolarWinds et injecté un malware dans leur logiciel Orion, utilisé par de nombreuses entreprises et agences gouvernementales pour la gestion informatique. Cette attaque sophistiquée a compromis la sécurité de milliers d'organisations dans le monde entier, leur permettant d'accéder aux données sensibles et de surveiller les communications. Une infiltration dans le SI de l’entreprise qui impactait potentiellement une violation de données d’au moins 18 000 de ses clients. Les implications de cette cyberattaque sont vastes et ont conduit à des réévaluations majeures de la cybersécurité et des protocoles de gestion des fournisseurs dans de nombreuses entreprises et agences gouvernementales.

Le logiciel Orion, développé par SolarWinds, est une plateforme de surveillance et de gestion des réseaux informatiques. Elle serait utilisée par environ 33 000 clients des secteurs public et privé. Sa fonction principale est de fournir aux administrateurs système une visibilité complète sur les performances et la santé de leurs infrastructures informatiques. Orion permet de surveiller les périphériques réseau, les serveurs, les applications et les services en temps réel, en collectant des données sur les performances, la disponibilité et l'utilisation des ressources. Il offre également des fonctionnalités de cartographie des réseaux, d'analyse des tendances, d'alertes en cas de problèmes et de génération de rapports pour aider les administrateurs à identifier, diagnostiquer et résoudre les problèmes plus rapidement.

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut