Cabecera-v2-web.jpg

3 nuevas vulnerabilidades graves de seguridad encontradas en productos de SolarWinds


04/02/2021

Investigadores de ciberseguridad revelaron tres graves vulnerabilidades de seguridad que afectan a la plataforma SolarWinds Orion y el servidor FTP SolarWinds Serv-U para Windows, dos de criticidad alta y explotables por un atacante local y un tercero, el más severo de todos de riesgo crítico, permitiria a que un atacante remoto y sin privilegios tomar el control de la plataforma Orion.

Dos de las fallas identificadas fueron catalogadas como CVE-2021-25274 y CVE-2021-25275 que afecta a la plataforma SolarWinds Orion, mientras que una tercera vulnerabilidad catalogada como CVE-2021-25276 afecta al servidor FTP SolarWinds Serv-U de la compañía para Windows.

Cabe mencionar que ninguno de los tres problemas de seguridad se ha aprovechado en el ataque sin precedentes a la cadena de suministro dirigido a la plataforma Orion que salió a la luz en diciembre pasado.

Productos afectados

  • Plataforma SolarWinds Orion, versión 2020.2.1 y anteriores
  • Servidor FTP Serv-U para Windows, versión 15.2.1 y versiones anteriores

A continuación se describen las vulnerabilidades con sus respectivos identificadores asignados

El CVE-2021-25276 de riesgo crítico que afecta a SolarWinds Serv-U FTP Server 15.2.1 para Windows, podría permitir que cualquier atacante que pueda iniciar sesión en el sistema localmente o mediante escritorio remoto suelte un archivo que define un nuevo usuario administrador con acceso completo a C: \ unidad, que luego se puede aprovechar iniciando sesión como ese usuario a través de FTP y leer o reemplazar cualquier archivo en la unidad.

El CVE-2021-25275 de criticidad alta que afecta a la plataforma Orion de Solarwinds, con una vulnerabilidad que incluye el uso inadecuado de Microsoft Messaging Queue (MSMQ), que es muy utilizado por SolarWinds Orion Collector Service. Esta vulnerabilidad podría permitir a los atacantes explotar la forma en que Orion trabaja con Microsoft Message Queue (MSMQ) para obtener acceso a credenciales seguras en el backend y obtener un control completo sobre todo el servidor de Windows. Esto podría usarse para robar información o agregar nuevos usuarios de nivel de administrador a Orion.

El CVE-2021-25274 de criticidad alta, que afecta a la plataforma SolarWinds Orion, se trata de una vulnerabilidad que se refiere a la manera insegura en la que las credenciales de la base de datos backend (llamada "SOLARWINDS_ORION") se almacenan en un archivo de configuración, lo que permitiría a un atacante local sin privilegios tomar el control total de la base de datos, robar información, o incluso agregar un nuevo usuario de nivel de administrador para utilizarlo dentro de los productos SolarWinds Orion.

Recomendaciones:

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11