Des failles critiques RCE découvertes dans SolarWinds ARM
Failles RCE critiques trouvées dans la solution d’audit d’accès SolarWinds. Les chercheurs en sécurité ont découvert trois vulnérabilités critiques d’exécution de code à distance dans le produit SolarWinds Access Rights Manager (ARM) que des attaquants distants pourraient utiliser pour exécuter du code avec les privilèges SYSTEM. SolarWinds ARM est un outil qui permet aux organisations de gérer et d’auditer les droits d’accès des utilisateurs dans leurs environnements informatiques. Il offre l’intégration de Microsoft Active Directory, un contrôle d’accès basé sur les rôles, un retour visuel et bien plus encore. SolarWinds a publié cette semaine un avis décrivant les huit vulnérabilités et leur indice de gravité, tels qu’évalués par l’entreprise.
Les exigences de conformité imposées par le RGPD, PCI, HIPAA et d’autres mandats nécessitent une surveillance détaillée des accès des utilisateurs, en particulier pour les utilisateurs qui ont accès à des données critiques et sensibles. SolarWinds ® Access Rights Manager (ARM) est conçu pour fournir des rapports Active Directory (AD) et Azure AD personnalisés, indiquant qui a accès à quoi et quand ils ont accédé à ces données.
Une vulnérabilité a été identifiée dans Serv-U 15.4 qui, si elle est exploitée, permet à un acteur de contourner l’authentification multifacteur/à deux facteurs. L’acteur doit disposer d’un accès de niveau administrateur à Serv-U pour effectuer cette action.
L'authentification multifacteur (MFA) est une méthode d'authentification électronique dans laquelle un utilisateur n'est autorisé à accéder à un site Web ou à une application qu'après avoir présenté avec succès deux éléments de preuve ou plus à un mécanisme d'authentification : connaissance, possession et héritage. L’authentification multifacteur ajoute une couche de protection au processus de connexion. Pour accéder à leurs comptes ou à des applications, les utilisateurs doivent confirmer leur identité, par exemple en scannant leur empreinte ou en entrant un code reçu par téléphone. Azure AD propose des méthodes d’authentification multifacteur (MFA) variées et flexibles (par exemple, SMS, appels, biométrie et codes secret à usage unique) pour répondre aux besoins spécifiques de votre organisation et protéger vos utilisateurs. Les pirates développent des solutions capables de contourner les protections MFA à la fois avec des outils de phishing mais aussi avec les attaques croissantes du proxy inverse.
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.
Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.
SolarWinds est une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique. Solarwinds propose la surveillance des réseaux multifournisseurs pour détecter les défauts et les éventuels problèmes de performance et de disponibilité. Il assure une surveillance de tous les environnements Cloud privés, publics et hybrides. Il prend en charge le déploiement multifournisseur Cloud, virtuels ou physiques. En décembre 2020, une cyber attaque à grande échelle s'appuyant sur l'un des produit de SolarWinds appelé Orion, utilisé par environ 33 000 clients des secteurs public et privé, est divulguée. De nombreux acteurs, dont le secrétaire d'Etat des Etats-Unis considèrent qu'elle a été perpétrée par les services de renseignement russes.
