SolarWinds Web Help Desk远程代码执行漏洞分析
MS-ISAC 咨询编号: 2025-089
发布日期: 2025年9月23日
概述
在SolarWinds Web Help Desk中发现了一个漏洞,可能允许远程代码执行。SolarWinds Web Help Desk(WHD)是一款基于Web的软件,提供IT帮助台和资产管理功能,允许IT团队管理服务请求、跟踪IT资产并为最终用户提供自助服务选项。
成功利用此漏洞可能允许攻击者以SYSTEM权限执行代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
威胁情报
目前没有报告表明此漏洞在野外被利用。
受影响系统
SolarWinds Web Help Desk 12.8.7及所有先前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户: 低
技术详情
在SolarWinds Web Help Desk中发现了一个漏洞,可能允许远程代码执行。漏洞详情如下:
战术: 初始访问(TA0001)
技术: 利用面向公众的应用程序(T1190)
SolarWinds Web Help Desk被发现存在未经身份验证的AjaxProxy反序列化远程代码执行漏洞,如果被利用,将允许攻击者在主机上运行命令。此漏洞是CVE-2024-28988的补丁绕过,而CVE-2024-28988又是CVE-2024-28986的补丁绕过。(CVE-2025-26399)
成功利用此漏洞可能允许攻击者以SYSTEM权限执行代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
建议措施
我们建议采取以下行动:
-
在进行适当测试后,立即将SolarWinds或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。(M1051:更新软件)
-
保障措施7.1:建立和维护漏洞管理流程
-
保障措施7.2:建立和维护修复流程
-
保障措施7.4:执行自动化应用程序补丁管理
-
保障措施7.5:执行内部企业资产的自动化漏洞扫描
-
保障措施7.7:修复检测到的漏洞
-
保障措施12.1:确保网络基础设施是最新的
-
保障措施18.1:建立和维护渗透测试计划
-
保障措施18.2:执行定期外部渗透测试
-
保障措施18.3:修复渗透测试发现的问题
-
对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)
-
保障措施4.7:管理企业资产和软件上的默认账户
-
保障措施5.5:建立和维护服务账户清单
-
使用漏洞扫描来查找可能可利用的软件漏洞并进行修复。(M1016:漏洞扫描)
-
保障措施16.13:执行应用程序渗透测试
-
架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来容纳不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)
-
保障措施12.2:建立和维护安全的网络架构
-
使用功能来检测和阻止可能导致或表明软件利用发生的条件。(M1050:利用保护)
-
保障措施10.5:启用反利用功能
参考资料
- CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-26399
- SolarWinds:https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26399
- ZDI:https://www.zerodayinitiative.com/advisories/ZDI-25-407/
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
