SolarWinds Access Rights Manager 目录遍历和信息泄露漏洞

该目录遍历漏洞允许攻击者绕过安全机制，访问并修改系统中的任意文件。攻击者可以利用此漏洞删除关键配置文件、日志文件或数据库文件，导致系统崩溃或数据丢失。更严重的是，攻击者可以泄露包含敏感信息的文件，例如密码、API密钥或客户数据，造成严重的隐私泄露和声誉损害。由于该漏洞无需身份验证，攻击者可以轻易地利用它，攻击范围广泛，潜在影响巨大。攻击者可能利用此漏洞作为跳板，进行进一步的横向移动，攻击整个网络。

Organizations utilizing SolarWinds Access Rights Manager, particularly those with older versions (≤2023.2.4) and exposed management interfaces, are at significant risk. Shared hosting environments where multiple customers share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other tenants.

• windows / supply-chain:

Get-ChildItem -Path "C:\Program Files\SolarWinds\Access Rights Manager\*" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\\'} | Select-Object FullName

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID=4663 and SubjectUserName='*'" -MaxEvents 100 | Select-String -Pattern "SolarWinds Access Rights Manager"

• generic web:

curl -I http://<target>/../../../../etc/passwd

• generic web:

 grep -i "solarwinds access rights manager" /var/log/apache2/access.log

1. 2024-07-17Disclosure

   disclosure

1. 已保留2024-01-17
2. 发布日期2024-07-17
3. 修改日期2024-08-01
4. EPSS 更新日期2026-04-02

为了缓解CVE-2024-23468的影响，首要措施是立即升级到SolarWinds Access Rights Manager 2024.3或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置防火墙规则，限制对Access Rights Manager服务的访问，只允许授权用户访问。此外，可以加强对系统文件的监控，及时发现并阻止未经授权的文件删除或修改操作。如果升级过程中出现问题，可以尝试回滚到之前的稳定版本，并在升级前备份重要数据。建议定期审查Access Rights Manager的配置，确保其安全性。