A SolarWinds abordou recentemente um conjunto crítico de falhas de segurança em seu software Access Rights Manager (ARM). Essas vulnerabilidades poderiam ser exploradas por invasores para acessar informações sensíveis ou executar código arbitrário. Das 11 vulnerabilidades identificadas, sete foram categorizadas como Críticas em termos de gravidade, com uma pontuação CVSS de 9.6 em uma escala de 10.0. As quatro restantes foram classificadas como Altas, cada uma com uma pontuação CVSS de 7.6. A exploração bem-sucedida dessas falhas poderia permitir que um atacante leia e exclua arquivos, além de executar código com privilégios elevados.

A SolarWinds tomou medidas imediatas para resolver essas deficiências, lançando a versão 2024.3 do Access Rights Manager em 17 de julho de 2024. As correções foram realizadas após a divulgação responsável das vulnerabilidades como parte da Iniciativa Zero Day da Trend Micro (ZDI). Essa ação foi particularmente significativa após a inclusão de uma vulnerabilidade de traversing de caminho de alta gravidade no SolarWinds Serv-U Path (CVE-2024-28995, pontuação CVSS: 8.6) pelo CISA em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Relatos indicam que essa vulnerabilidade estava sendo ativamente explorada no ambiente real.

A SolarWinds, conhecida por ter sido vítima de um ataque significativo à cadeia de suprimentos em 2020, continua a enfrentar desafios significativos relacionados à segurança. Naquele incidente, hackers associados ao grupo APT29 comprometeram o mecanismo de atualização do software Orion da SolarWinds, distribuindo código malicioso a clientes downstream como parte de uma operação de espionagem cibernética de larga escala.