CVE-2020-10148

SolarWinds Orion

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SolarWinds Orion API contains an authentication bypass vulnerability that could allow a remote attacker to execute API commands.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-10148) в API SolarWinds Orion позволяет удаленному злоумышленнику обойти аутентификацию. Для этого достаточно отправить специально сформированный HTTP-запрос к порту 17778 (SolarWinds Information Service — SWIS). Это дает возможность выполнять любые команды API, включая чтение, изменение и удаление конфигураций и данных в системе.

Как исправить

Необходимо немедленно обновить SolarWinds Orion Platform до версии, в которой уязвимость устранена.

  1. Определите текущую версию: В веб-интерфейсе Orion перейдите в Settings -> All Settings -> Product Details.

  2. Установите патч: Загрузите и установите обновление в соответствии с вашей версией:

    • Для версий 2019.4 HF 6 и 2020.2.1 HF 2: Установите Hotfix 2020.2.1 HF 3.
    • Для версий 2019.2 — 2019.4: Обновитесь до 2019.4 HF 6, затем установите Hotfix 2020.2.1 HF 3.
    • Для более старых версий: Сначала обновитесь до одной из указанных выше поддерживаемых версий, затем примените соответствующий патч.

    Обновления доступны в портале поддержки SolarWinds (Customer Portal). Процесс установки стандартный для продукта.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ: Настройте правила межсетевого экрана (брандмауэра) так, чтобы доступ к порту 17778/TCP (SWIS) был разрешен только с доверенных IP-адресов (например, с административных рабочих станций и серверов, которым необходим доступ к API). Полностью блокируйте входящий доступ к этому порту из интернета и непроверенных сегментов сети. bash # Пример для iptables (разрешить только с сети 10.0.1.0/24) iptables -A INPUT -p tcp --dport 17778 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 17778 -j DROP
  2. Используйте WAF: Настройте правила в Web Application Firewall (WAF) для блокировки запросов, содержащих известные сигнатуры эксплуатации данной уязвимости (например, определенные пути или заголовки в запросах к /SolarWinds/InformationService/v3/Json/).
  3. Мониторинг: Включите усиленное логирование и мониторинг любых попыток доступа к порту 17778 с недоверенных адресов или необычных вызовов API.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей