尊敬的用戶：

據(jù)安全中心監(jiān)測，SolarWinds Orion被披露出遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號CVE-2020-10148。

為避免您的業(yè)務(wù)受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

SolarWinds Orion平臺是一套基礎(chǔ)架構(gòu)以及系統(tǒng)監(jiān)視和管理產(chǎn)品。 

SolarWinds Orion API嵌入在Orion Core中，被用于與所有SolarWinds Orion Platform產(chǎn)品進(jìn)行接口。 通過在URI請求的Request.PathInfo部分中包含特定參數(shù)，可以繞過API身份驗證，這可能允許攻擊者執(zhí)行未經(jīng)身份驗證的API命令。 如果攻擊者將WebResource.adx，ScriptResource.adx，i18n.ashx或Skipi18n的PathInfo參數(shù)附加到對SolarWinds Orion服務(wù)器的請求，SolarWinds可能會設(shè)置SkipAuthorization標(biāo)志，該標(biāo)志可能允許處理API請求無需身份驗證。

風(fēng)險等級

高

漏洞風(fēng)險

攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼，目前已監(jiān)測到有利用該漏洞投遞代號為'SUPERNOVA'的惡意程序的行為

影響版本

2020.2.1 HF 2 及 2019.4 HF 6之前的版本

安全版本

2019.4 HF 6（2020年12月14日發(fā)布）

2020.2.1 HF 2（發(fā)布于2020年12月15日）

2019.2 SUPERNOVA補?。?020年12月23日發(fā)布）

2018.4 SUPERNOVA補?。?020年12月23日發(fā)布）

2018.2 SUPERNOVA補?。?020年12月23日發(fā)布）

修復(fù)建議

更新到SolarWinds Orion平臺的相關(guān)安全版本或更新版，或者使用官方的臨時修復(fù)腳本來緩解：

官方鏈接：

https://www.solarwinds.com/securityadvisory#anchor2

https://downloads.solarwinds.com/solarwinds/Support/SupernovaMitigation.zip

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://www.solarwinds.com/securityadvisory

棉花云運營部