SolarWinds 安全漏洞影响 IT 管理员

关键要点

• SolarWinds 的 Web Help Desk 发现了严重安全漏洞（CVE-2024-28986），可能允许远程代码执行。
• 漏洞源于 Java 反序列化问题，攻击者可在无需身份验证的情况下控制系统。
• 建议所有 Web Help Desk 用户立即应用发布的补丁。
• 使用 SAML 单点登录的用户需等待兼容修复。
• Palo Alto Networks 也发布了安全更新，相关漏洞为 CVE-2024-5914。

SolarWinds 上周突然曝出了一项可能让 IT 管理员感到恐惧的重大安全漏洞：关键的 SolarWinds 漏洞 。

据该 IT服务提供商，其 Web Help Desk（WHD）产品中存在的漏洞可能使攻击者能够实现远程代码执行，从而在未经过身份验证的情况下控制易受攻击的系统。

该漏洞被标记为 CVE-2024-28986，根源在于 Java 的反序列化漏洞。拥有 WHD应用访问权限的攻击者能够将恶意命令发送至目标系统，从而实现代码执行。

SolarWinds 中发现的远程控制漏洞无疑会让其客户感到不安，因为他们可能会想起 2020 年的 SolarWinds Orion漏洞事件，以及由此引发的一系列供应链攻击。最终，该公司因这一事件被。

目前尚不清楚该漏洞的具体影响程度。虽然发现漏洞的研究人员报告称能够在未认证的情况下完全执行代码，但 SolarWinds 表示其团队未能完全重现攻击。

尽管如此，这个漏洞在 CVSS 漏洞评分系统中被评定为 9.8，属于远程代码执行缺陷，这也是漏洞评分中最高的分数之一。

SolarWinds 方面表示：“出于谨慎起见，我们建议所有 Web Help Desk 客户应用当前可用的补丁。”

大多数情况下，管理员被建议更新 WHD 至版本 WHD 12.8.3 Hotfix 1。然而，有一个重要的警告：SAML单点登录与此更新不兼容，正在使用该配置的管理员被建议暂时等待兼容的修复。

SolarWinds 不是唯一发布安全修复的公司。使用 Palo Alto Networks 硬件的公司需要仔细查看有关 CVE-2024-5914的。该漏洞被厂家认为是“中等”的安全风险，允许通过 Cortex XSOAR Commonscripts 包进行命令注入攻击。

Palo Alto 还指出，该攻击需在本地利用，这意味着威胁行为者必须已经登录到网络才能利用漏洞。

管理员被建议更新至版本 1.12.33，以获取补丁。

本周发布的安全补丁还不是全部，早些时候发布了每月一次的 Patch Tuesday 更新，其中包括修复九个正在被广泛攻击的零日漏洞。

对于许多管理员而言，接下来的几天将是忙碌的，需要测试并部署关键更新。