SolarWinds telah merilis perbaikan untuk mengatasi dua kelemahan keamanan dalam perangkat lunak Access Rights Manager (ARM), termasuk kerentanan kritis yang dapat mengakibatkan eksekusi kode jarak jauh.
Kerentanan tersebut, dilacak sebagai CVE-2024-28991mendapat nilai 9,0 dari nilai maksimum 10,0 pada sistem penilaian CVSS. Hal ini digambarkan sebagai contoh deserialisasi data yang tidak tepercaya.
“SolarWinds Access Rights Manager (ARM) ditemukan rentan terhadap kerentanan eksekusi kode jarak jauh,” kata perusahaan tersebut dalam sebuah pernyataan. “Jika dieksploitasi, kerentanan ini akan memungkinkan pengguna yang diautentikasi untuk menyalahgunakan layanan, yang mengakibatkan eksekusi kode jarak jauh.”
Peneliti keamanan Piotr Bazydlo dari Trend Micro Zero Day Initiative (ZDI) dianggap berjasa menemukan dan melaporkan kelemahan tersebut pada 24 Mei 2024.
ZDI, yang telah menetapkan skor CVSS sebesar 9,9 untuk kekurangan tersebut, mengatakan bahwa kekurangan tersebut ada dalam kelas yang disebut JsonSerializationBinder dan berasal dari kurangnya validasi yang tepat terhadap data yang diberikan pengguna, sehingga membuat perangkat ARM rentan terhadap kerentanan deserialisasi yang kemudian dapat disalahgunakan untuk mengeksekusi kode sembarangan.
“Meskipun autentikasi diperlukan untuk mengeksploitasi kerentanan ini, mekanisme autentikasi yang ada dapat dilewati,” kata ZDI.
SolarWinds juga mengatasi kelemahan tingkat keparahan sedang pada ARM (CVE-2024-28990, skor CVSS: 6.3) yang mengekspos kredensial yang dikodekan secara keras, yang jika berhasil dieksploitasi, dapat memungkinkan akses tidak sah ke konsol manajemen RabbitMQ.
Kedua masalah tersebut telah diperbaiki di ARM versi 2024.3.1. Meskipun saat ini tidak ada bukti eksploitasi aktif terhadap kerentanan tersebut, pengguna disarankan untuk memperbarui ke versi terbaru sesegera mungkin guna melindungi diri dari potensi ancaman.
Perkembangan ini terjadi setelah D-Link mengatasi tiga kerentanan kritis yang memengaruhi router DIR-X4860, DIR-X5460, dan COVR-X1870 (CVE-2024-45694, CVE-2024-45695, dan CVE-2024-45697, skor CVSS: 9,8) yang dapat memungkinkan eksekusi jarak jauh kode arbitrer dan perintah sistem.