SolarWinds Web Help Desk远程代码执行漏洞分析
MS-ISAC咨询编号:2025-089 发布日期:2025年9月23日
概述
在SolarWinds Web Help Desk中发现了一个安全漏洞,可能允许远程代码执行。SolarWinds Web Help Desk(WHD)是一款基于Web的软件,提供IT帮助台和资产管理功能,允许IT团队管理服务请求、跟踪IT资产并为最终用户提供自助服务选项。
成功利用此漏洞可能允许攻击者以SYSTEM权限执行代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
威胁情报
目前没有关于此漏洞在野外被利用的报告。
受影响系统
- SolarWinds Web Help Desk 12.8.7及所有先前版本
风险等级
政府机构:
- 大型和中型政府实体:高风险
- 小型政府实体:中等风险
企业:
- 大型和中型企业实体:高风险
- 小型企业实体:中等风险
家庭用户:低风险
技术详情
在SolarWinds Web Help Desk中发现了一个可能允许远程代码执行的漏洞。漏洞详情如下:
战术:初始访问(TA0001) 技术:利用面向公众的应用程序(T1190)
SolarWinds Web Help Desk被发现存在未经身份验证的AjaxProxy反序列化远程代码执行漏洞,如果被利用,将允许攻击者在主机上运行命令。此漏洞是CVE-2024-28988的补丁绕过,而CVE-2024-28988又是CVE-2024-28986的补丁绕过。(CVE-2025-26399)
成功利用此漏洞可能允许攻击者以SYSTEM权限执行代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
建议措施
我们建议采取以下措施:
软件更新
- 在经过适当测试后,立即将SolarWinds或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。(M1051:更新软件)
- 保护措施7.1:建立和维护漏洞管理流程
- 保护措施7.2:建立和维护修复流程
- 保护措施7.4:执行自动化应用程序补丁管理
- 保护措施7.5:执行内部企业资产的自动化漏洞扫描
- 保护措施7.7:修复检测到的漏洞
- 保护措施12.1:确保网络基础设施是最新的
权限管理
- 对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)
- 保护措施4.7:管理企业资产和软件上的默认账户
- 保护措施5.5:建立和维护服务账户清单
安全测试
- 使用漏洞扫描来查找潜在可利用的软件漏洞并进行修复。(M1016:漏洞扫描)
- 保护措施16.13:进行应用程序渗透测试
- 保护措施18.1:建立和维护渗透测试程序
- 保护措施18.2:执行定期外部渗透测试
- 保护措施18.3:修复渗透测试发现的问题
网络架构
- 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问潜在的敏感系统和信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)
- 保护措施12.2:建立和维护安全的网络架构
利用防护
- 使用功能来检测和阻止可能导致或表明软件利用发生的条件。(M1050:利用保护)
- 保护措施10.5:启用反利用功能