文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

SolarWinds 曝出五个严重的RCE漏洞

2024-11-30 02:00

关注

漏洞详情

CVE-2024-23476 和 CVE-2024-23479 安全漏洞由于路径遍历问题引发,第三个严重安全漏洞 CVE-2023-40057 由反序列化不受信任的数据造成,一旦未经身份验证的威胁攻击者成功利用这三个安全漏洞,便可以轻松在未打补丁的目标系统上执行任意代码。

另外两个安全漏洞 CVE-2024-23477 和 CVE-2024-23478 被 SolarWinds 评定为高严重性安全漏洞,可以被威胁攻击者用来 RCE 攻击。

值得一提的是,上述提到的安全漏洞中有四个是由 ZDI 匿名安全研究人员发现并报告,剩余一个则是 ZDI 漏洞研究人员 Piotr Bazydło 发现并上报。据悉,SolarWinds 在本周发布的 Access Rights Manager 2023.2.3 中解决安全漏洞问题,并进行了安全修复。

安全漏洞问题曝出后,SolarWinds 发言人第一时间对外表示,目前尚未收到任何关于这些漏洞在野外被利用的报告。此外,公司在获悉漏洞信息后,立刻与客户取得了联系,以确保其能够采取有效措施,避免遭受网络攻击。后续立即发布了安全更新,用户能够通过补丁程序,最大程度上解决安全漏洞问题。

值得一提的事,SolarWinds 曾在 2023 年 10 月份修复了另外三个关键的 Access Rights Manager RCE 漏洞,这些安全漏洞允许威胁攻击者以 SYSTEM 权限运行代码。

2020 年 3 月 SolarWinds 供应链攻击事件

SolarWinds 在全球范围内有着广泛的客户群体,拥有超过 30万客户,为包括苹果、谷歌和亚马逊等知名公司,以及美国军方、五角大楼、国务院、美国国家航空航天局、美国国家安全局、邮政局、美国海洋和大气管理局、司法部和美国总统办公室等政府组织在内机构提供服务。因此,早就成为了威胁攻击者眼中的“香饽饽”。

几年前,SolarWinds  公司曾发生了一起严重的供应链攻击事件,对全球多个组织带来了恶劣影响。

起因是 APT29 黑客组织渗透了 SolarWinds 的内部系统,将恶意代码注入到了客户在 2020 年 3 月至 2020 年 6 月期间下载的 SolarWinds Orion IT 管理平台构建中,为在数以千计的系统上部署 Sunburst 后门提供了便利,使得威胁攻击者能够有选择性地针对潜在受害目标,开展网络攻击活动。

供应链攻击事件披露后,包括国土安全部、财政部和能源部,以及国家电信和信息管理局(NTIA)、国家卫生研究院和国家核安全局在内的多个美国政府机构证实自身遭到了网络入侵。

参考文章:https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bugs-in-access-rights-audit-solution/

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯