Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en SolarWinds Orion Platform

Múltiples vulnerabilidades en SolarWinds Orion Platform

Fecha de publicación: 
05/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Orion Platform, versiones anteriores a 2020.2.4;
  • ServU-FTP, versiones anteriores a 15.2.2 Hotfix 1.
Descripción: 

Martin Rakhmanov, investigador de Trustwave, ha publicado un artículo en el que detalla 3 vulnerabilidades críticas que afectan a SolarWinds Orion User Device Tracker y SolarWinds Serv-U FTP. Estas vulnerabilidades podrían permitir a un atacante la ejecución remota de código, el acceso a las credenciales para su recuperación y la capacidad de leer, escribir o eliminar cualquier archivo del sistema.

Solución: 

Las correcciones están disponibles en las siguientes versiones de los productos SolarWinds:

Detalle: 
  • El servicio SolarWinds Orion Collector depende en gran medida de MSMQ (Microsoft Message Queue), con una gran lista de colas privadas disponibles, todas ellas sin autentificar. Esto significa que los usuarios no autentificados pueden enviar mensajes a las colas a través del puerto TCP 1801. Debido a una deserialización insegura, un usuario sin privilegios podría ejecutar código arbitrario de forma remota. Se ha asignado el identificador CVE-2021-25274 para esta vulnerabilidad.
  • Las credenciales de la base de datos del backend de Orion no estaban suficientemente protegidas y los usuarios locales tenían acceso sin restricciones a ellas. Un atacante podría aprovechar esta situación para controlar la base de datos de SolarWinds Orion y robar información o añadir usuarios a nivel de administrador. Se ha asignado el identificador CVE-2021-25275 para esta vulnerabilidad.
  • Las cuentas ubicadas en SolarWinds Serv-U FTP Server se almacenan en archivos separados en el disco y un usuario autenticado tiene acceso a ellas. El servidor FTP se ejecuta con permisos de LocalSystem, por lo que al crear una cuenta de administrador, un atacante podría establecer el directorio de inicio en la raíz de la unidad del sistema y así poder leer o reemplazar cualquier archivo allí. Se ha asignado el identificador CVE-2021-25276 para esta vulnerabilidad.

Encuesta valoración