Критические недостатки были исправлены, но вопросы к компании ещё остались…
SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, выпустил обновления для устранения пяти уязвимостей , позволяющих произвести удалённое выполнение кода (RCE) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации.
ARM используется компаниями для управления и аудита прав доступа в их IT-инфраструктурах, что позволяет минимизировать риски, связанные с угрозами со стороны внутренних пользователей.
Две критические уязвимости CVE-2024-23476 и CVE-2024-23479 (оценки по CVSS 9.6) связаны с недостатками обхода пути (Path Traversal), а третья под идентификатором CVE-2023-40057 (оценка по CVSS 9.0) — с небезопасной десериализацией (Deserialization of Untrusted Data). Все три вышеописанных уязвимости могут быть использованы неаутентифицированными атакующими для выполнения кода на целевых системах, которые не были обновлены до безопасной версии ПО.
Ещё две уязвимости под идентификаторами CVE-2024-23477 и CVE-2024-23478 (7.9 и 8.0 баллов по CVSS) также могут быть использованы для RCE-атак и классифицируются как проблемы высокой степени опасности.
Все уязвимости были обнаружены независимыми исследователями в рамках инициативы Zero Day Initiative (ZDI) от компании Trend Micro.
Обновление Access Rights Manager 2023.2.3, выпущенное 15 февраля , включает исправления всех пяти уязвимостей, перечисленных выше, а также дополнительные улучшения безопасности. Представитель SolarWinds сообщил, что компания не получала сообщений о реальной эксплуатации этих уязвимостей в «дикой природе».
Разработчики отработали без претензий, быстро закрыв критические недостатки безопасности в своём продукте, за что SolarWinds можно только похвалить. А вот за что компанию похвалить нельзя, так это за то, что ей свойственна политика полуправды , в чём комиссия по ценным бумагам и биржам США (SEC) обвиняла SolarWinds в октябре прошлого года.
Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.
Узнайте, как защититься!
Кракен в даркнете — это платформа для анонимных покупок, предлагающая широкий спектр товаров и услуг. Пользователям важно быть осторожными, проверять информацию и защищать свою анонимность, чтобы избежать мошенничества и правовых последствий. Понимание принципов работы даркнета и использование надёжных источников для получения информации о площадках, таких как Кракен, помогут сделать процесс торговли более безопасным и эффективным.
Доступ к сайту осуществляется через Tor-браузер, который скрывает IP-адреса пользователей. Кракен предлагает удобный интерфейс, позволяющий легко находить и приобретать интересующие товары. Пользователи могут оставлять отзывы и оценки о продавцах, что способствует созданию более безопасной торговой среды.
