SolarWinds Access Rights Manager (ARM) 目录遍历远程代码执行漏洞

该RCE漏洞的潜在影响非常严重。攻击者可以利用该漏洞在受影响的ARM服务器上执行任意代码，从而完全控制系统。这可能导致敏感数据泄露、系统被破坏、甚至整个网络被攻陷。攻击者可以利用该漏洞获取对ARM数据库的访问权限，窃取用户凭据、配置信息和其他敏感数据。此外，攻击者还可以利用该漏洞进行横向移动，攻击网络中的其他系统。由于ARM通常用于管理特权访问，因此该漏洞的利用可能导致对关键业务系统的破坏。

Organizations utilizing SolarWinds Access Rights Manager to manage user access and permissions are at significant risk. This includes those with legacy deployments of older ARM versions and those who have not implemented robust network segmentation or access controls. Shared hosting environments where multiple tenants share the same server are also particularly vulnerable.

• windows / supply-chain:

Get-Process -Name "AccessRightsManager" | Select-Object ProcessId, CommandLine

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID = 4688 -MessageText like '%AccessRightsManager%'" | Select-Object TimeCreated, Message

• windows / supply-chain: Check Autoruns for unusual entries related to Access Rights Manager or suspicious file paths.

1. 2024-02-15Disclosure

   disclosure

2. 2024-02-15Patch

   patch

1. 已保留2024-01-17
2. 发布日期2024-02-15
3. 修改日期2024-08-01
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将SolarWinds Access Rights Manager (ARM) 升级至2023.2.2或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对ARM服务的网络访问，仅允许授权用户访问。实施严格的身份验证和访问控制策略，以减少攻击面。监控ARM服务器的日志文件，以检测可疑活动。如果可能，在Web应用防火墙（WAF）或代理服务器上配置规则，以阻止目录遍历攻击。在升级后，请验证漏洞是否已成功修复，例如通过尝试触发漏洞并确认其不再有效。