SolarWinds 近期修補(bǔ)了 Access Rights Manager (ARM) 解決方案中的五個(gè)遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞，其中包括三個(gè)允許未驗(yàn)證利用的嚴(yán)重漏洞！

漏洞詳情

CVE-2024-23476 和 CVE-2024-23479 安全漏洞由于路徑遍歷問題引發(fā)，第三個(gè)嚴(yán)重安全漏洞 CVE-2023-40057 由反序列化不受信任的數(shù)據(jù)造成，一旦未經(jīng)身份驗(yàn)證的威脅攻擊者成功利用這三個(gè)安全漏洞，便可以輕松在未打補(bǔ)丁的目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

另外兩個(gè)安全漏洞 CVE-2024-23477 和 CVE-2024-23478 被 SolarWinds 評定為高嚴(yán)重性安全漏洞，可以被威脅攻擊者用來 RCE 攻擊。

值得一提的是，上述提到的安全漏洞中有四個(gè)是由 ZDI 匿名安全研究人員發(fā)現(xiàn)并報(bào)告，剩余一個(gè)則是 ZDI 漏洞研究人員 Piotr Bazyd?o 發(fā)現(xiàn)并上報(bào)。據(jù)悉，SolarWinds 在本周發(fā)布的 Access Rights Manager 2023.2.3 中解決安全漏洞問題，并進(jìn)行了安全修復(fù)。

安全漏洞問題曝出后，SolarWinds 發(fā)言人第一時(shí)間對外表示，目前尚未收到任何關(guān)于這些漏洞在野外被利用的報(bào)告。此外，公司在獲悉漏洞信息后，立刻與客戶取得了聯(lián)系，以確保其能夠采取有效措施，避免遭受網(wǎng)絡(luò)攻擊。后續(xù)立即發(fā)布了安全更新，用戶能夠通過補(bǔ)丁程序，最大程度上解決安全漏洞問題。

值得一提的事，SolarWinds 曾在 2023 年 10 月份修復(fù)了另外三個(gè)關(guān)鍵的 Access Rights Manager RCE 漏洞，這些安全漏洞允許威脅攻擊者以 SYSTEM 權(quán)限運(yùn)行代碼。

2020 年 3 月 SolarWinds 供應(yīng)鏈攻擊事件

SolarWinds 在全球范圍內(nèi)有著廣泛的客戶群體，擁有超過 30萬客戶，為包括蘋果、谷歌和亞馬遜等知名公司，以及美國軍方、五角大樓、國務(wù)院、美國國家航空航天局、美國國家安全局、郵政局、美國海洋和大氣管理局、司法部和美國總統(tǒng)辦公室等政府組織在內(nèi)機(jī)構(gòu)提供服務(wù)。因此，早就成為了威脅攻擊者眼中的“香餑餑”。

幾年前，SolarWinds  公司曾發(fā)生了一起嚴(yán)重的供應(yīng)鏈攻擊事件，對全球多個(gè)組織帶來了惡劣影響。

起因是 APT29 黑客組織滲透了 SolarWinds 的內(nèi)部系統(tǒng)，將惡意代碼注入到了客戶在 2020 年 3 月至 2020 年 6 月期間下載的 SolarWinds Orion IT 管理平臺構(gòu)建中，為在數(shù)以千計(jì)的系統(tǒng)上部署 Sunburst 后門提供了便利，使得威脅攻擊者能夠有選擇性地針對潛在受害目標(biāo)，開展網(wǎng)絡(luò)攻擊活動。

供應(yīng)鏈攻擊事件披露后，包括國土安全部、財(cái)政部和能源部，以及國家電信和信息管理局（NTIA）、國家衛(wèi)生研究院和國家核安全局在內(nèi)的多個(gè)美國政府機(jī)構(gòu)證實(shí)自身遭到了網(wǎng)絡(luò)入侵。

參考文章：https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bugs-in-access-rights-audit-solution/