SolarWinds gooit sleutels van helpdesksoftware te grabbel

credentials

Een bug in SolarWinds Web Help Desk wordt actief uitgebuit. SolarWinds liet credentials van de software los slingeren in de broncode.

CISA, het cybersecurityorgaan van de Amerikaanse overheid, waarschuwt voor een bug in SolarWinds die ernstige gevolgen kan hebben. Kwetsbaarheid CVE202428987 geeft de aanvallers de sleutels van Web Help Desk, een software voor IT-helpdesks. Eens ze binnen zijn, kunnen ze interne functionaliteiten aanpassen en gevoelige data buitmaken. De kwetsbaarheid wordt ook actief uitgebuit.

Nalatigheid

De kwetsbaarheid is een gevolg van nalatigheid bij SolwarWinds. Het IT-bedrijf liet credentials van de software hardcoded in de broncode staan. “Hoewel deze kwetsbaarheid niet leidt tot het volledig compromitteren van de WHD-server zelf, vonden we het risico van laterale beweging via referenties hoog”, verklaart SolarWinds. Meer dan 800 Web Help desk-omgevingen zijn blootgesteld via het internet.

SolarWinds ontdekte zijn fout in augustus en rolde inmiddels enkele hot patches uit voor Web Help Desk. Het spreekt voor zich dat het bedrijf klanten oproept de patch zo snel mogelijk door te voeren. De kwetsbaarheid is toegevoegd aan de lijst met actief uitgebuite kwetsbaarheden van CISA.

De patch lost nog een andere kwetsbaarheid op, CVE-2024-28986. Deze kwetsbaarheid ontstaat door een deserialisatiefout in de Java-code en maakt het uitvoeren van code vanop afstand mogelijk. Met een CVSS-score van 9,6 is CVE-2024-28986 nog kritieker dan CVE202428987, die een score van 9,1 toebedeeld krijgt.

Déjà vu

Zegt de naam SolarWinds je nog iets? Om je geheugen op te frissen: het bedrijf is de eigenaar van het beruchte Orion-platform dat in 2020 ten prooi viel aan Russische hackers. De hackers installeerden achterpoortjes in de software om tienduizenden klanten van het bedrijf te bespioneren. Het lek had ook gevolgen in België.

lees ook

Microsoft-topman erkent ‘mislukkingen’ in beveiliging

Of deze kwetsbaarheid eenzelfde omvang zal kennen, is nog onduidelijk. CISA lijkt in ieder geval geen risico’s te willen nemen, want de software van SolarWinds wordt ook nu nog in kritieke sectoren gebruikt. Gezien de recente geschiedenis hoeft er niet veel mis te gaan bij SolarWinds om de alarmbellen te doen afgaan.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.