SolarWinds Access Rights Manager (ARM) ディレクトリトラバーサルによるリモートコード実行の脆弱性

この脆弱性は、攻撃者がARMサーバ上で任意のコードを実行することを可能にします。攻撃者は、認証なしでシステムに侵入し、機密情報を盗み出したり、マルウェアをインストールしたり、システムを完全に制御したりする可能性があります。この脆弱性の悪用は、ネットワーク全体に影響を及ぼす可能性があり、機密データの漏洩、サービスの中断、さらにはシステム全体の停止につながる可能性があります。攻撃者は、この脆弱性を利用して、他のシステムへの攻撃の足がかりとしてARMサーバを使用する可能性もあります。

Organizations utilizing SolarWinds Access Rights Manager to manage user access and permissions are at significant risk. This includes those with legacy deployments of older ARM versions and those who have not implemented robust network segmentation or access controls. Shared hosting environments where multiple tenants share the same server are also particularly vulnerable.

• windows / supply-chain:

Get-Process -Name "AccessRightsManager" | Select-Object ProcessId, CommandLine

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID = 4688 -MessageText like '%AccessRightsManager%'" | Select-Object TimeCreated, Message

• windows / supply-chain: Check Autoruns for unusual entries related to Access Rights Manager or suspicious file paths.

1. 2024-02-15Disclosure

   disclosure

2. 2024-02-15Patch

   patch

1. 予約済み2024-01-17
2. 公開日2024-02-15
3. 更新日2024-08-01
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、SolarWinds Access Rights Managerをバージョン2023.2.2以降にアップデートすることを推奨します。アップデートが困難な場合は、一時的な緩和策として、ARMサーバへの外部からのアクセスを制限するファイアウォールルールを実装したり、ディレクトリトラバーサル攻撃を検出するためのWAFルールを適用したりすることを検討してください。また、ARMサーバのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、ARMサーバの正常性を確認し、脆弱性が解消されていることを確認してください。