CVE-2024-28986

SolarWinds Web Help Desk

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-15

Официальное описание

SolarWinds Web Help Desk contains a deserialization of untrusted data vulnerability that could allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-28986 представляет собой критическую уязвимость типа «десериализация недоверенных данных» (Java Deserialization) в программном обеспечении SolarWinds Web Help Desk (WHD). Злоумышленник может отправить специально сформированный запрос к приложению, что приведет к выполнению произвольного кода (RCE) в контексте учетной записи, под которой запущен сервис WHD. Уязвимость является критической, так как позволяет полностью скомпрометировать сервер без предварительной аутентификации.

Как исправить

Основным способом устранения уязвимости является установка официального исправления (Hotfix) от производителя. На текущий момент исправление доступно для версии Web Help Desk 12.8.3.

  1. Скачайте актуальный патч (Web Help Desk 12.8.3 Hotfix 1) из личного кабинета SolarWinds Customer Portal.
  2. Создайте резервную копию базы данных и всех файлов приложения перед установкой.
  3. Остановите службу Web Help Desk:
Stop-Service -Name "WebHelpDesk"
  1. Распакуйте содержимое Hotfix в корневую директорию установки Web Help Desk (по умолчанию C:\Program Files\WebHelpDesk).
  2. Подтвердите замену существующих файлов (в частности, библиотек .jar).
  3. Запустите службу Web Help Desk:
Start-Service -Name "WebHelpDesk"
  1. Убедитесь, что в логах отсутствуют ошибки инициализации, и версия продукта обновилась.

Временные меры

Если немедленная установка патча невозможна, необходимо применить следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу Web Help Desk на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
  2. Настройте Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, содержащих сериализованные объекты Java (маркеры AC ED 00 05 в HEX или rO0AB в Base64).
  3. Запустите службу Web Help Desk от имени учетной записи с минимальными привилегиями (Managed Service Account), чтобы ограничить радиус поражения в случае эксплуатации.
  4. Изолируйте сервер WHD в отдельном сегменте сети (DMZ) и запретите ему инициировать любые исходящие соединения в корпоративную сеть.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей