SolarWinds 修补访问权限管理器软件中的 8 个严重缺陷

SolarWinds解决了影响其访问权限管理器 (ARM) 软件的一系列严重安全漏洞，这些漏洞可能被利用来访问敏感信息或执行任意代码。

在这 13 个漏洞中，有 8 个漏洞的严重程度被评为“严重”，CVSS 评分为 9.6（满分 10.0）。其余 5 个漏洞的严重程度被评为“高”，其中 4 个漏洞的 CVSS 评分为 7.6，1 个漏洞的 CVSS 评分为 8.3。

最严重的缺陷如下：

CVE-2024-23472 - SolarWinds ARM 目录遍历任意文件删除和信息泄露漏洞
CVE-2024-28074 - SolarWinds ARM 内部反序列化远程代码执行漏洞
CVE-2024-23469 - Solarwinds ARM 暴露危险方法远程代码执行漏洞
CVE-2024-23475 - Solarwinds ARM 遍历和信息泄露漏洞
CVE-2024-23467 - Solarwinds ARM 遍历远程代码执行漏洞
CVE-2024-23466 - Solarwinds ARM 目录遍历远程代码执行漏洞
CVE-2024-23470 - Solarwinds ARM UserScriptHumster 暴露危险方法远程命令执行漏洞
CVE-2024-23471 - Solarwinds ARM CreateFile 目录遍历远程代码执行漏洞
成功利用上述漏洞可能允许攻击者读取和删除文件并以提升的权限执行代码。

作为趋势科技零日计划 (ZDI) 的一部分，在负责任地披露漏洞后，这些缺陷已在 2024 年 7 月 17 日发布的 2024.3 版本中得到解决。

此前有报告称 SolarWinds Serv-U Path 中存在一个高严重性路径遍历漏洞 (CVE-2024-28995，CVSS 评分：8.6) ，美国网络安全和基础设施安全局 (CISA) 已将该漏​​洞列入已知利用漏洞 (KEV) 目录，以应对外界积极利用该漏洞的情况。

这家网络安全公司在 2020 年遭受了一次重大供应链攻击，此前其 Orion 网络管理平台相关的更新机制遭到俄罗斯 APT29 黑客的攻击，黑客在一次引人注目的网络间谍活动过程中向下游客户分发恶意代码。

此次泄密事件促使美国证券交易委员会 (SEC)于去年 10 月对 SolarWinds 及其首席信息安全官 (CISO)提起诉讼，指控该公司未能向投资者披露有关网络安全风险的足够重大信息。

然而，7 月 18 日，美国纽约南区地方法院（SDNY）驳回了与该诉讼相关的大部分索赔，称“这些索赔没有合理地表明该公司在网络安全黑客报告中存在可诉缺陷”并且“不允许依赖后见之明和猜测”。