SolarWinds Web Help Desk 严重 RCE 漏洞遭到主动攻击利用

SolarWinds Web Help Desk 严重漏洞遭到主动攻击利用

安全研究人员确认，威胁行为者正在积极利用 SolarWinds Web Help Desk (WHD) 中的严重漏洞 CVE-2024-28986，该漏洞可导致未经身份验证的远程代码执行（RCE）。该漏洞的 CVSS 评分高达 9.8，对依赖此 IT 服务管理平台的组织构成严重威胁。

技术细节

• CVE 编号： CVE-2024-28986
• CVSS 评分： 9.8（严重）
• 受影响软件： SolarWinds Web Help Desk
• 漏洞类型： 未经身份验证的远程代码执行（RCE）
• 攻击向量： 可远程利用且无需身份验证，允许攻击者在易受攻击的系统上执行任意代码。

SolarWinds 于 2024 年 6 月 4 日发布了安全公告，敦促客户立即应用可用的补丁。该公司尚未披露漏洞的根本原因，但攻击者通常通过精心构造的输入触发受影响应用程序上下文中的代码执行。

影响分析

成功利用 CVE-2024-28986 可能使威胁行为者能够：

• 完全控制易受攻击的 SolarWinds WHD 实例。
• 部署恶意软件、窃取敏感数据或在网络内横向移动。
• 破坏 IT 服务管理操作，导致停机或数据泄露。

由于已观察到野外主动攻击利用，使用 SolarWinds WHD 的组织面临的风险显著增加。该漏洞的严重性及低攻击复杂性使其成为机会主义攻击者和高级持续威胁（APT）组织的理想目标。

建议措施

安全团队应立即采取以下措施：

1. 应用补丁： 将 SolarWinds Web Help Desk 更新至最新版本，以缓解 CVE-2024-28986。SolarWinds 已在其安全公告中提供了补丁。
2. 隔离易受攻击的系统： 如无法立即修补，应限制对 WHD 实例的网络访问，仅允许受信任的 IP 地址访问。
3. 监控攻击利用迹象： 部署入侵检测/防御系统（IDS/IPS），检测异常网络流量或未经授权的访问尝试等攻击迹象。
4. 审查日志： 检查日志是否存在入侵证据，包括异常的身份验证尝试或可疑进程执行。
5. 网络分段： 通过网络分段限制横向移动，遏制潜在的入侵。

由于该漏洞的严重性及公开披露，攻击利用可能会加剧，组织应优先应用此补丁。如需进一步指导，请参阅 SolarWinds 的官方资源或咨询网络安全事件响应团队。