آسيبپذيري جديدي در برنامه Storage Manager محصول شركت Solarwinds كشف شده است كه با سوءاستفاده از آن ميتوان از راه دور اقدام به اجراي كد دلخواه بر روي ماشيني نمود كه نرمافزار فوق بر روي آن نصب شده است. براي سوءاستفاده از اين آسيبپذيري نيازي به انجام عمليات احراز اصالت نيست! تمامي اين شرايط باعث شده است كه سطح خطر اين آسيبپذيري 10 از 10 اعلام گردد. اين امر نيازمند توجه ويژه از سوي راهبران شبكهاي است كه از نرمافزار فوق در شبكه خود استفاده مينمايند.
اين آسيبپذيري در كلاس AuthenticationFilter وجود داشته و موجب خرابكاري در عملكرد احراز اصالت ميگردد. با سوءاستفاده از اين آسيبپذيري ميتوان اسكريپتهاي دلخواه را بر روي ماشين آسيبپذيري بارگذاري نموده و سپس آن را با سطح دسترسي سيستم اجرا نمود.
اين آسيبپذيري توسط فردي با نام Andrea Micalizzi كشف شده و در تاريخ 25 دي ماه 1393 بهصورت محرمانه به شركت سازنده اعلام شده است. پس از گذشت بيش از پنج ماه و نيم از اعلام آسيبپذيري به شركت سازنده و عدم دريافت پاسخي مبتني بر تلاش آن شركت در زمينه رفع آسيبپذيري، سرانجام اين آسيبپذيري در تاريخ 9 تير 1394 با جزئيات فني اندك بهصورت عمومي منتشر شده است.
راه حل
متاسفانه هنوز راه حل قطعي براي جلوگيري از سوءاستفاده از اين آسيبپذيري وجود ندارد ولي ميتوان بهصورت موقت با استفاده از قوانين ديواره آتش، دسترسي به ماشينهاي آسيبپذير را تنها به تعداد محدود و شناخته شدهاي از ماشينها محدود نمود. درصورت وجود هرگونه پرسش درخصوص نحوه پيكربندي ديواره آتش، مركز ماهر آماده ارائه راهنمايي ميباشد.
توضيحي مختصر درخصوص برنامه Storage Manager
برنامه Storage Manager برنامهاي است كه براي نظارت پيوسته بر عملكرد تجهيزات ذخيرهسازي داده و همچنين مديريت آلارمهاي مربوطه توسط بسياري از شركتها مورد استفاده قرار گرفته است. اين برنامه جديداً با برنامه Storage Resource Monitor جايگزين شده ولي هنوز بسياري از شركتها از نسخه قديمي آن استفاده مينمايند. شركت Solarwinds نيز به همين بهانه براي آسيبپذيري فوق وصلهاي منتشر ننموده است. اين كار غيرحرفهاي ميتواند موجب زيان بسياري از استفادهكنندگان از محصول فوق گردد.
- 15