CVE-2016-3643

SolarWinds Virtualization Manager

ВЕРОЯТНОСТЬ 5.4%
Дата обнаружения

2021-11-03

Официальное описание

SolarWinds Virtualization Manager allows for privilege escalation through leveraging a misconfiguration of sudo.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2016-3643 в SolarWinds Virtualization Manager (VMAN) позволяет локальному пользователю повысить свои привилегии до root. Это происходит из-за небезопасной конфигурации sudo, которая дает пользователю solarwinds возможность выполнять определенные команды с правами суперпользователя без необходимости ввода пароля. Злоумышленник, имеющий доступ к системе под учетной записью solarwinds, может использовать эту возможность для выполнения произвольного кода с максимальными правами.

Как исправить

Установите официальный патч от SolarWinds, который устраняет эту конфигурационную ошибку.

  1. Определите текущую версию VMAN: bash cat /opt/SolarWinds/VirtualizationManager/version.txt

  2. Обновитесь до исправленной версии. Уязвимость устранена в одной из следующих версий (в зависимости от вашего основного релиза):

    • Для ветки 6.3.x — обновитесь до версии 6.3.2 или новее.
    • Для ветки 6.2.x — обновитесь до версии 6.2.5 или новее.

    Загрузите установщик с исправлением с портала поддержки SolarWinds и выполните обновление в соответствии с официальной инструкцией.

  3. После обновления проверьте конфигурацию sudo. Команда sudo -l, выполненная от имени пользователя solarwinds, не должна показывать опасных правил, позволяющих выполнять произвольные команды (например, /bin/bash, /bin/sh, редакторы типа vi или nano) с правами root без пароля.

Временное решение

Если немедленное обновление невозможно, вручную исправьте конфигурацию sudo, удалив или ужесточив опасное правило.

  1. Создайте резервную копию файла конфигурации sudoers: bash sudo cp /etc/sudoers /etc/sudoers.backup_$(date +%Y%m%d)

  2. Отредактируйте конфигурацию, чтобы ограничить права пользователя solarwinds.

    • Найдите и отредактируйте файл, содержащий правило для solarwinds (обычно /etc/sudoers.d/solarwinds или непосредственно /etc/sudoers).
    • Критически важно: Редактируйте файл только с помощью команды visudo (она проверяет синтаксис и предотвращает ошибки, которые могут заблокировать доступ к системе): bash sudo visudo -f /etc/sudoers.d/solarwinds
    • В открывшемся редакторе найдите строки, предоставляющие пользователю solarwinds широкие права (например, solarwinds ALL=(ALL) NOPASSWD: ALL или разрешающие запуск оболочки). Удалите эти строки или закомментируйте их, добавив # в начале. Сохраните и закройте файл.

  3. После изменения перепроверьте эффективные права: bash sudo su - solarwinds sudo -l Вывод не должен содержать разрешений на выполнение произвольных команд от имени root. Это временная мера, и полное исправление требует установки официального патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей