SolarWinds Web Help Desk 远程代码执行漏洞遭野外利用，CISA强制要求紧急修补

SolarWinds 关键漏洞遭主动利用，CISA发出警告

美国网络安全与基础设施安全局（CISA）已将SolarWinds Web Help Desk中的一个严重远程代码执行（RCE）漏洞添加至其已知被利用漏洞（KEV）目录，确认该漏洞正在野外被主动利用。根据《绑定操作指令（BOD）22-01》，联邦民事机构已被要求在2024年9月5日前完成系统修补。

技术细节

该漏洞编号为CVE-2024-28986，是SolarWinds Web Help Desk 12.8.3 HF 1及更早版本中的一个身份验证绕过漏洞。若被利用，攻击者可在未修补的系统上以提升权限执行任意代码。SolarWinds已于2024年8月13日发布安全公告，敦促所有客户立即应用可用的热修复补丁。

虽然CISA的指令仅适用于联邦机构，但安全专家警告，所有使用易受攻击的SolarWinds Web Help Desk实例的组织均应优先修补该漏洞，因其严重性极高（CVSS评分待公布）。

影响分析

CVE-2024-28986的主动利用带来重大风险，包括：

• 以管理员权限进行未经授权的系统访问
• 数据泄露或帮助台操作被篡改
• 在受感染网络中的横向移动
• 由于SolarWinds作为高价值目标的历史（如2020年Sunburst攻击事件），存在供应链攻击的潜在风险

建议措施

1. 立即部署补丁：应用SolarWinds针对Web Help Desk 12.8.3 HF 2的热修复补丁，或升级至已修补的版本，切勿延误。
2. 网络分段：在修复完成前，将Web Help Desk服务器与关键基础设施隔离。
3. 监控入侵指标（IOCs）：检查日志中是否存在异常的身份验证尝试或未经授权的访问。
4. 第三方风险评估：审计有权访问SolarWinds系统的供应商或合作伙伴，评估潜在暴露风险。

CISA将CVE-2024-28986纳入KEV目录，凸显了及时应对该漏洞的紧迫性，特别是对于管理敏感数据或关键基础设施的组织。更多详情请参阅SolarWinds的官方安全公告。