Investigadores de ciberseguridad revelaron tres graves vulnerabilidades de seguridad que afectan a la plataforma SolarWinds Orion y el servidor FTP SolarWinds Serv-U para Windows, dos de criticidad alta y explotables por un atacante local y un tercero, el más severo de todos de riesgo crítico, permitiria a que un atacante remoto y sin privilegios tomar el control de la plataforma Orion.
Dos de las fallas identificadas fueron catalogadas como CVE-2021-25274 y CVE-2021-25275 que afecta a la plataforma SolarWinds Orion, mientras que una tercera vulnerabilidad catalogada como CVE-2021-25276 afecta al servidor FTP SolarWinds Serv-U de la compañía para Windows.
Cabe mencionar que ninguno de los tres problemas de seguridad se ha aprovechado en el ataque sin precedentes a la cadena de suministro dirigido a la plataforma Orion que salió a la luz en diciembre pasado.
Productos afectados
- Plataforma SolarWinds Orion, versión 2020.2.1 y anteriores
- Servidor FTP Serv-U para Windows, versión 15.2.1 y versiones anteriores
A continuación se describen las vulnerabilidades con sus respectivos identificadores asignados
El CVE-2021-25276 de riesgo crítico que afecta a SolarWinds Serv-U FTP Server 15.2.1 para Windows, podría permitir que cualquier atacante que pueda iniciar sesión en el sistema localmente o mediante escritorio remoto suelte un archivo que define un nuevo usuario administrador con acceso completo a C: \ unidad, que luego se puede aprovechar iniciando sesión como ese usuario a través de FTP y leer o reemplazar cualquier archivo en la unidad.
El CVE-2021-25275 de criticidad alta que afecta a la plataforma Orion de Solarwinds, con una vulnerabilidad que incluye el uso inadecuado de Microsoft Messaging Queue (MSMQ), que es muy utilizado por SolarWinds Orion Collector Service. Esta vulnerabilidad podría permitir a los atacantes explotar la forma en que Orion trabaja con Microsoft Message Queue (MSMQ) para obtener acceso a credenciales seguras en el backend y obtener un control completo sobre todo el servidor de Windows. Esto podría usarse para robar información o agregar nuevos usuarios de nivel de administrador a Orion.
El CVE-2021-25274 de criticidad alta, que afecta a la plataforma SolarWinds Orion, se trata de una vulnerabilidad que se refiere a la manera insegura en la que las credenciales de la base de datos backend (llamada «SOLARWINDS_ORION») se almacenan en un archivo de configuración, lo que permitiría a un atacante local sin privilegios tomar el control total de la base de datos, robar información, o incluso agregar un nuevo usuario de nivel de administrador para utilizarlo dentro de los productos SolarWinds Orion.
Recomendaciones:
- Aplicar las actualizaciones de seguridad a las últimas versiones disponibles en su sitio web oficial;
- Plataforma SolarWinds Orion 2020.2.4
- SolarWinds Serv-U FTP 15.2.2 Hotfix1
Referencias