Resumen: SolarWinds emitió una alerta de seguridad para advertir a sus clientes de los posibles riesgos de explotación de las instancias Web Help Desk (WHD) expuestas a internet.
Web Help Desk es una solución automatizada de emisión de tickets basada en internet, que ayuda a gestionar solicitudes de soporte de TI tanto para clientes internos como externos.
La compañía estadounidense desarrolladora de software, informó que uno de sus clientes les notificó haber sido víctima de un intento de ataque externo dirigido a su instancia WHD que ejecutaba la versión 12.7.5.
Afortunadamente, el sistema de detección de respuesta de puntos finales, bloqueó el ataque y alertó inmediatamente al cliente sobre el mismo.
Dicho esto, SolarWinds emitió un comunicado esta semana, advirtiendo a sus usuarios sobre el posible vector de ataque; declarando que se había iniciado la investigación de la mano del cliente perjudicado, pero que aún no se lograba reproducir el escenario malicioso.
Si bien SolarWinds no proporciono ningún detalle de las herramientas o técnicas utilizadas para el ataque, notificó sobre cuatro vulnerabilidades de seguridad que un actor de la amenaza podría aprovechar para atacar las instancias WHD no parcheadas.
Vulnerabilidades en WHD: CVE-2021-35243: Fallo de los métodos HTTP PUT y DELETE habilitados / corregido en la versión 12.7.7 Hotfix 1 CVE-2021-35232: Credenciales codificadas que permiten la ejecución de consultas HSQL arbitrarias / Parcheado en la versión 12.7.7 Hotfix 1 CVE-2021-35251: Vulnerabilidad de divulgación de datos sensibles / Corregido en WHD 12.7.8 CVE-2021-32076: Vulnerabilidad de la lógica empresarial / parcheada en la versión 12.7.6
Dicho esto, SolarWinds le recomienda a todos sus clientes aplicar los parches correspondientes o eliminar la infraestructura orientada a internet hasta que se tenga mayor información sobre el caso.
Por otro lado, para quienes no puedan eliminar las instancias WHD de los servidores expuestos a internet, se les aconseja ejecutar un software EDR con la finalidad de identificar, detectar o prevenir cualquier APT.
Recomendaciones: Aunque por el momento se desconocen las versiones afectadas, se les aconseja a todos los administradores que instalen inmediatamente las últimas actualizaciones disponibles.
También se les recomienda a los usuarios que eliminen la infraestructura orientada a internet hasta que se tenga mayor información sobre el caso. De no ser posible, una alternativa es que desplieguen un software EDR en su sistema.
Referencias: https://www.solarwinds.com/trust-center/security-advisories/whd1275 |
SÍGUENOS