Reescreva o título em português (exceto marcas), com todas as palavras começando com maiúscula e sem ponto final: SolarWinds Corrige 8 Vulnerabilidades Críticas no Software Gerenciador de Direitos de Acesso

A SolarWinds abordou um conjunto de falhas de segurança críticas que afetam seu software Access Rights Manager (ARM) e que poderiam ser exploradas para acessar informações sensíveis ou executar código arbitrário. Das 13 vulnerabilidades, oito são classificadas como Críticas em severidade e possuem uma pontuação CVSS de 9.6 de 10.0. As outras cinco falhas foram classificadas como de Alta severidade, com quatro delas possuindo uma pontuação CVSS de 7.6 e uma com pontuação de 8.3. As vulnerabilidades mais graves foram listadas, e a exploração bem-sucedida dessas vulnerabilidades pode permitir a um atacante ler, excluir arquivos e executar código com privilégios elevados. As deficiências foram corrigidas na versão 2024.3 lançada em 17 de julho de 2024, após a divulgação responsável como parte da Iniciativa Zero Day da Trend Micro (ZDI).

O desenvolvimento ocorre depois que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) colocou uma falha de travessia de caminho de alta severidade no SolarWinds Serv-U Path (CVE-2024-28995, pontuação CVSS: 8.6) em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) após relatos de exploração ativa. A empresa de segurança de rede foi vítima de um grande ataque à cadeia de abastecimento em 2020, depois que o mecanismo de atualização associado à sua plataforma de gerenciamento de rede Orion foi comprometido por hackers russos do APT29 para distribuir código malicioso para clientes downstream como parte de uma campanha de espionagem cibernética de alto perfil. A violação levou a Comissão de Valores Mobiliários e Câmbio dos EUA (SEC) a apresentar uma ação judicial contra a SolarWinds e seu diretor de segurança da informação (CISO) em outubro passado, alegando que a empresa não divulgou informações materiais adequadas aos investidores sobre os riscos de segurança cibernética. No entanto, grande parte das alegações referentes ao processo foi rejeitada pelo Tribunal Distrital dos Estados Unidos para o Distrito Sul de Nova York (SDNY) em 18 de julho, afirmando que “elas não alegam de forma plausível deficiências acionáveis na divulgação do hackeamento de segurança da empresa” e que “se baseiam de forma impermissível em retrospectiva e especulação”.