A SolarWinds bejelentette, hogy két sérülékenység is javításra került az Active Directory (AD) és Azure AD felhasználói jogosultságkezelő eszközében, az Access Rights Manager-ben, beleértve egy kritikus súlyosságút is.
A CVE-2024-28991 (CVSS pontszám: 9,0) kódon nyomon követhető kritikus biztonsági hiba lehetővé teheti a távoli támadók számára, hogy tetszőleges kódot futtassanak egy érintett rendszeren. A hibára a Zero Day Initiative lett figyelmes, és azt is elárulták, hogy ez egy „Nem megbízható adatok deszerializációja”, azaz CWE-502-es típusú hiba, vagyis a felhasználók által szolgáltatott adatok nem megfelelően vannak kezelve az érintett programokban. Egy támadó kihasználhatja a sebezhetőséget, és így alkalma nyílik SYSTEM-ként tetszőleges kódot futtatni. A sérülékenység súlyosságát valamelyest enyhíti, hogy a sikeres kihasználáshoz hitelesített felhasználóként kell eljárni, ez a hitelesítés azonban egyéb módszerekkel megkerülhető.
A második javított probléma CVE-2024-28990 kódon követhető nyomon, amire szintén a Zero Day Initiative lett figyelmes és jellegét tekintve egy „Beégetett jelszó alkalmazása” azaz CWE-259 típusú sérülékenység. A kihasználásával megkerülhető a hitelesítés, és ezzel elérhetővé válik a támadó számára a RabbitMQ kezelőfelülete.
Mindkét sérülékenység javításra került az Access Rights Manager 2024.3.1-es verziójában, úgyhogy a felhasználóknak javasolt a mihamarabbi frissítés elvégzése, ezzel elkerülhető egy esetleges támadás sikeressége.
A SolarWinds nem tett említést arról, hogy bármelyik sebezhetőség kihasználásra került volna a valóságban.