Em outubro de 2024, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu três novas vulnerabilidades no catálogo de “Vulnerabilidades Exploradas Conhecidas” (KEV), sendo uma delas uma falha séria no SolarWinds Web Help Desk (WHD). Essa falha, identificada como CVE-2024-28987, resulta de credenciais codificadas e foi corrigida pelo fornecedor em agosto de 2024.
Falha do SolarWinds Web Help Desk
O SolarWinds Web Help Desk é uma solução amplamente utilizada por cerca de 300.000 clientes em todo o mundo, incluindo órgãos governamentais, corporações e organizações de saúde. A vulnerabilidade permitia que invasores não autenticados usassem credenciais pré-configuradas – um nome de usuário “helpdeskIntegrationUser” e a senha “dev-C4F8025E7” – para obter acesso remoto aos endpoints WHD, possibilitando a visualização e alteração de dados sem restrições.
Após o alerta do pesquisador Zach Hanley, da Horizon3.ai, a SolarWinds respondeu rapidamente, lançando um hotfix apenas quatro dias depois da descoberta, pedindo a todos os administradores que migrassem para a versão WHD 12.8.3 Hotfix 2 ou superior.
A inclusão da falha no KEV pela CISA indica que a vulnerabilidade já está sendo ativamente explorada em ataques. Embora poucos detalhes tenham sido compartilhados sobre as atividades maliciosas relacionadas, a exploração de ransomware permanece com status indefinido. A CISA impôs um prazo até 5 de novembro de 2024 para que agências federais e outras organizações governamentais dos EUA atualizem para uma versão segura ou interrompam o uso do WHD.
Devido ao caráter ativo da exploração da falha CVE-2024-28987, os administradores de sistema são fortemente aconselhados a implementar as correções necessárias antes do prazo, garantindo a segurança dos endpoints.
Outras vulnerabilidades
Além da falha no SolarWinds, duas outras vulnerabilidades também foram adicionadas ao KEV. Uma delas, CVE-2024-30088, afeta o Windows e está ligada a uma condição de corrida Kernel TOCTOU. A Trend Micro observou que o grupo APT34 (também conhecido como OilRig) está utilizando essa falha para obter privilégios de nível SYSTEM em dispositivos comprometidos. A Microsoft corrigiu essa vulnerabilidade em junho de 2024, mas o início da exploração ativa ainda não foi determinado.
A terceira vulnerabilidade, CVE-2024-9680, foi encontrada no Mozilla Firefox e descoberta por Damien Schaeffer, da ESET, em outubro de 2024. A falha permitia a execução remota de código em dispositivos por meio de renderização de animações CSS. Embora a Mozilla tenha corrigido a falha rapidamente, há indícios de que a vulnerabilidade tenha sido usada para espionagem, possivelmente originada da Rússia.