SolarWinds Web Help Desk 远程代码执行漏洞分析

MS-ISAC 咨询编号： 2025-089

发布日期： 2025 年 9 月 23 日

概述

在 SolarWinds Web Help Desk 中发现了一个漏洞，可能允许远程代码执行。SolarWinds Web Help Desk（WHD）是一款基于 Web 的软件，提供 IT 帮助台和资产管理功能，允许 IT 团队管理服务请求、跟踪 IT 资产并为最终用户提供自助服务选项。

成功利用此漏洞可能允许攻击者以 SYSTEM 权限执行代码。攻击者随后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

威胁情报

目前没有报告表明此漏洞在野外被利用。

受影响系统

SolarWinds Web Help Desk 12.8.7 及所有先前版本

风险等级

政府机构：

• 大型和中型政府实体：高

• 小型政府实体：中

企业：

• 大型和中型企业实体：高

• 小型企业实体：中

家庭用户： 低

技术详情

在 SolarWinds Web Help Desk 中发现了一个漏洞，可能允许远程代码执行。漏洞详情如下：

战术： 初始访问（TA0001）

技术： 利用面向公众的应用程序（T1190）

SolarWinds Web Help Desk 被发现存在未经身份验证的 AjaxProxy 反序列化远程代码执行漏洞，如果被利用，将允许攻击者在主机上运行命令。此漏洞是 CVE-2024-28988 的补丁绕过，而 CVE-2024-28988 又是 CVE-2024-28986 的补丁绕过。（CVE-2025-26399）

成功利用此漏洞可能允许攻击者以 SYSTEM 权限执行代码。攻击者随后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

建议措施

我们建议采取以下行动：

• 在进行适当测试后，立即将 SolarWinds 或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。（M1051：更新软件）

• 保障措施 7.1：建立和维护漏洞管理流程

• 保障措施 7.2：建立和维护修复流程

• 保障措施 7.4：执行自动化应用程序补丁管理

• 保障措施 7.5：执行内部企业资产的自动化漏洞扫描

• 保障措施 7.7：修复检测到的漏洞

• 保障措施 12.1：确保网络基础设施是最新的

• 保障措施 18.1：建立和维护渗透测试计划

• 保障措施 18.2：执行定期外部渗透测试

• 保障措施 18.3：修复渗透测试发现的问题

• 对所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减少成功攻击的影响。（M1026：特权账户管理）

• 保障措施 4.7：管理企业资产和软件上的默认账户

• 保障措施 5.5：建立和维护服务账户清单

• 使用漏洞扫描来查找可能可利用的软件漏洞并进行修复。（M1016：漏洞扫描）

• 保障措施 16.13：执行应用程序渗透测试

• 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用 DMZ 来容纳不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（M1030：网络分段）

• 保障措施 12.2：建立和维护安全的网络架构

• 使用功能来检测和阻止可能导致或表明软件利用发生的条件。（M1050：利用保护）

• 保障措施 10.5：启用反利用功能

参考资料

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-26399

• SolarWinds：https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26399

• ZDI：https://www.zerodayinitiative.com/advisories/ZDI-25-407/更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享