Un chercheur en cybersécurité a identifié une vulnérabilité de la solution WHD de SolarWinds

Table des matières

La découverte de Zach Hanley révèle une grave vulnérabilité dans le Web Help Desk. C’est le logiciel de SolarWinds, une solution pour gérer les demandes d’assistance et le parc informatique. La faille en question pourrait permettre à des attaquants de compromettre des données importantes. Heureusement, l’éditeur a vite réagi en déployant un correctif. M. Hanley a félicité cette intervention rapide.

Dans un bulletin de sécurité avec un correctif, l’éditeur de Solarwinds a fait une déclaration. D’après ses dires, des fonctions internes étaient accessibles à des individus externes non authentifiés. En tirant parti de la faiblesse liée aux identifiants codés figurant en clair dans SolarWinds Web Help Desk, ils sont en mesure de modifier des données.

Le bug est dû à une erreur dans le développement. Les développeurs ont négligé de retirer les identifiants codés en dur du logiciel WHD. Jusqu’à présent, aucune attaque exploitant cette faille n’a été détectée. Toutefois, SolarWinds insiste sur la nécessité d’appliquer les correctifs dans les plus brefs délais pour prévenir toute exploitation malveillante.

SolarWinds a déjà pris des initiatives

Le chercheur en cybersécurité, Zach Hanley, a souligné la rapidité de la réaction de l’éditeur en déployant un correctif.

Il s’est d’ailleurs exprimé sur X :

« J’ai signalé une vulnérabilité critique à Solarwinds vendredi après avoir creusé dans la récente CISA KEV CVE-2024-28986 pour Web Help Desk, et je vois que quatre jours plus tard, ils ont déjà livré un correctif ! D’autres détails seront publiés le mois prochain. »

Ce correctif ne se limite pas à la résolution du problème de l’identifiant statique dans WHD. Il comporte aussi des modifications logicielles mineures pour corriger des failles spécifiques. Cette mise à jour s’inscrit dans la continuité des correctifs pour la vulnérabilité CVE-2024-28986 (CVSS 9,1). Elle vise à renforcer encore la sécurité du produit concerné.

Cette agilité dans la résolution des failles rappelle les avantages d’un modèle de simulation en portage salarial, où la réactivité est primordiale.

Dans une mise à jour précédente, la société a annoncé qu’elle souhaitait apporter rapidement aux clients de SolarWinds un module sécurisé du logiciel. Le 13 août 2024, SolarWinds a effectivement déployé un correctif de sécurité majeur pour WHD 12.8. Cette solution peut avoir des répercussions sur des fonctionnalités clés, comme le Single Sign-On.

Zach Hanley s’est surtout tourné vers la CVE-2024-28986

Dans le cadre de ses recherches, Zach Hanley s’est intéressé à la vulnérabilité CVE-2024-28986 affectant le WHD ou Web Help Desk. Il s’agit là évidemment de la solution de gestion des services informatiques (ITSM) proposée par SolarWinds.

Il a découvert une nouvelle vulnérabilité critique dans ce système, permettant un accès à distance à des données sensibles stockées en clair. La faille CVE-2024-28986, caractérisée par un score CVSS extrêmement élevé de 9,1, a été jugée comme une menace majeure.

La présence d’identifiants statiques, une erreur de conception de l’outil ITSM, expose réellement le système WHD à des risques de sécurité. Elle s’apparente à une mauvaise configuration d’une simulation en portage salarial qui peut entraîner des erreurs de calcul de rémunération.

Pour information, Web Help Desk est une solution logicielle économique conçue pour gérer efficacement les actifs informatiques et les demandes d’assistance. Ses fonctionnalités clés incluent :

  • L’automatisation des processus de gestion des tickets ;
  • La base de connaissances unifiée ;
  • L’intégration transparente avec LDAP et Active Directory ;
  • Un module de gestion des actifs complet, etc.

Les secteurs de l’administration, des services financiers et de la santé font notamment confiance à WHD pour leurs besoins en matière de gestion des tickets. Un accès à distance non autorisé, rendu possible par cette faille, pourrait exposer leurs données sensibles.

Cet article vous a-t-il été utile ?

Note moyenne 0 / 5. Votants: 0

Retrouvez ici les dernières actualités