SolarWinds已修补其访问权限管理器（ARM）解决方案中的五个远程代码执行（RCE）漏洞，其中包括三个允许未经身份验证的利用的关键严重漏洞。

Access Rights Manager允许公司管理和审核其IT基础架构中的访问权限，以最大限度地减少内部威胁影响等。

CVE-2024-23476和CVE-2024-23479是由于路径遍历的弱点，而第三个关键缺陷CVE-2023-40057是由于反序列化不受信任的数据引起的。

未经身份验证的攻击者可以利用这三个漏洞在未打补丁的目标系统上执行代码。

其他两个错误（CVE-2024-23477和CVE-2023-23478）也可以用于RCE攻击，并已被SolarWinds评为高严重性问题。

本周，SolarWinds修复的五个漏洞中有四个是由趋势微公司零日计划(ZDI)的匿名研究人员发现和报告的，而ZDI漏洞研究人员Piotr Bazydło发现了第五个漏洞。

SolarWinds修补了Access Rights Manager 2023.2.3中的缺陷，这是本周四发布的错误和安全修复。

SolarWinds的发言人告诉BleepingComputer，该公司还没有收到这些漏洞在野外被利用的任何报告。

“这些漏洞被披露的趋势科技的安全研究小组，它与SolarWinds合作，作为我们负责任的披露计划的一部分，我们正在致力于安全的软件开发，”发言人告诉BleepingComputer。

“我们已经联系了客户，以确保他们可以采取措施，通过应用我们已经发布的补丁来解决这些漏洞。负责任地披露漏洞是提高我们产品和整个行业安全性的关键，我们感谢趋势科技的合作。”

SolarWinds还修复了其他三个关键的访问权限管理器RCE错误在10月，允许攻击者运行代码与系统权限。

2020年3月SolarWinds供应链攻击

四年前，俄罗斯APT29黑客组织侵入SolarWinds的内部系统，在2020年3月至2020年6月期间向客户下载的SolarWinds Orion IT管理平台构建版本注入恶意代码。

这些木马构建促进了Sunburst后门在数千个系统上的部署，但攻击者有选择性地针对数量明显较少的组织进行进一步的利用。

SolarWinds在全球拥有超过300,000的客户，为96%的财富500强公司提供服务。包括知名公司如苹果、谷歌和亚马逊，以及政府组织如美国军方、五角大楼、国务院、NASA、NSA、邮政局、NOAA、司法部和办公室。

在供应链攻击被披露后，多个美国政府机构确认他们被攻破，包括国务院、国土安全部、财政部和能源部，以及国家电信和信息管理局（NTIA）、国家卫生研究院和国家核安全管理局。

2021年4月，美国政府正式指控俄罗斯对外情报局策划了SolarWinds网络攻击。

今年10月，美国证券交易委员会（SEC）指控SolarWinds欺诈投资者，称其未能在2020年黑客之前通知投资者网络安全防御问题。