Hackers maken actief misbruik van een kritieke kwetsbaarheid in de Web Help Desk-software van SolarWinds. Dit stelt hen in staat op afstand kwaadaardige code uit te voeren op getroffen servers. Het lek, bekend als CVE-2024-28986, scoort een vette 9,8 van 10 op de CVSS-urgentieschaal en betreft een Java-deserialisatie-bug.
SolarWinds heeft een patch uitgebracht en dringt er bij alle gebruikers op aan deze onmiddellijk toe te passen om hun systemen te beveiligen. In eerste instantie had SolarWinds geen bewijs dat de kwetsbaarheid in het wild werd uitgebuit, maar adviseerde het uit voorzorg toch om de patch toe te passen.
Zekere voor het onzekere
Het bedrijf erkende dat het moeilijk was om de kwetsbaarheid te reproduceren zonder authenticatie, maar adviseerde klanten desondanks om allereerst te updaten naar de nieuwste versie van Web Help Desk (12.8.3.1813) en pas dan ‘WHD 12.8.3 Hotfix 1’ toe te passen. De uitzondering betreft klanten die SAML Single Sign-On (SSO) gebruiken, voor wie binnenkort een andere patch beschikbaar komt.
De kwetsbaarheid, die ongeautoriseerde code execution via Java-deserialisatie mogelijk maakt, is door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) toegevoegd aan de catalogus van Known Exploited Vulnerabilities (KEV). Dat gebeurt alleen bij actieve exploitatie, dus blijkbaar is toch ergens bewijs opgedoken daarvan.
Een gevolg hiervan is in elk geval dat nationale overheidsdiensten in de VS verplicht zijn om de kwetsbare software vóór 5 september te patchen of te stoppen met het gebruik ervan.
Lees ook: ‘Autoriteiten VS al veel eerder op de hoogte van SolarWinds-hack’