報導摘要

針對全球眾多企業所使用的 IT 服務台管理軟體 SolarWinds Web Help Desk，其開發商 SolarWinds 正面臨一場嚴峻的資安挑戰。繼先前兩次修補失敗後，該公司第三度發布熱修復程式，以解決一個可能導致未經授權遠端程式碼執行的重大漏洞。這起事件不僅凸顯了軟體開發過程中漏洞修補的複雜性，也再次提醒了企業用戶，特別是依賴此類供應商軟體的組織，必須對供應鏈資安風險保持高度警惕。

漏洞細節與修補歷程

這場資安風暴的核心是一個被標註為 CVE-2024-28986 的漏洞，該漏洞是一種「反序列化」問題，允許未經授權的攻擊者在不受限制的情況下在受感染的伺服器上執行任意程式碼。儘管 SolarWinds 在 2024 年 8 月首次發布了修補程式，但很快就被發現可以被繞過，導致了第二個漏洞 CVE-2024-28988 的產生。美國網路安全和基礎設施安全局（CISA）甚至將最初的漏洞列入其「已知被利用的漏洞」目錄中，表明該漏洞已在實際攻擊中被惡意利用。

SolarWinds 週二宣布了針對 Web Help Desk 中遠端程式碼執行 (RCE) 漏洞的修補程序，這是該公司第三次嘗試解決該問題。新揭露的漏洞編號為 CVE-2025-26399（CVSS 評分為 9.8），是一個未經驗證的 AjaxProxy 反序列化 RCE 漏洞，可能允許攻擊者在主機上執行指令。SolarWinds 在上週發布的 公告中指出：“此漏洞是 CVE-2024-28988 的補丁繞過(註)，而 CVE-2024-28986 又是 CVE-2024-28986 的補丁繞過。”SolarWinds解釋說，新揭露的 CVE-2025-26399 是其第三次嘗試修補反序列化 RCE，並且是一位與趨勢科技 ZDI 合作的匿名安全研究人員發現了它。

註：
補丁繞過（Patch Bypass）是指攻擊者在已知某個安全漏洞已被修補的情況下，透過技術手段避開該修補機制，重新利用原本的漏洞或其變種來達成攻擊目的。這種行為通常發生在以下幾種情境：避開修補邏輯、變種攻擊和時間差攻擊。

這次第三次的修補嘗試，顯示了資安防禦與攻擊之間的持續博弈。儘管 SolarWinds 聲稱目前尚未有任何關於 CVE-2025-26399 在野外被利用的報告，但鑑於先前漏洞的歷史，資安專家普遍認為，這只是時間問題。英國資安公司 watchTowr 的威脅情報主管 Ryan Dewhurst 指出，SolarWinds 過去的經驗表明，這類漏洞被主動利用的可能性極高，因此強烈建議用戶應盡快應用最新的熱修復程式。

資安專家觀點與防禦建議

SolarWinds 的這起事件，是當代複雜軟體供應鏈資安問題的一個縮影。它不僅僅是一個技術漏洞，更是一個管理與信任的挑戰。當一個企業依賴的關鍵軟體存在持續性的資安弱點時，其自身的資安風險也隨之大幅增加。

針對此類威脅，資安專家提出了以下幾點重要的防禦建議：

1. 立即應用最新修補程式： 儘管歷史上修補程式曾被繞過，但應用最新的熱修復程式仍然是保護系統免受已知威脅的最重要步驟。SolarWinds 已發布 Web Help Desk 12.8.7 Hotfix 1 來解決此問題，用戶應立即更新。

2. 實施深度防禦策略： 企業不應僅僅依賴供應商的修補程式。除了更新軟體，還應實施多層次的防禦措施，例如在網路邊界設置防火牆、限制對 Web Help Desk 介面的存取、並對所有通訊進行加密。

3. 監控異常行為： 部署能夠監控主機和網路流量的資安工具，特別是那些能夠偵測遠端程式碼執行或異常網路連線的行為。這有助於在攻擊者利用漏洞之前或當下發現並阻止其惡意行為。

4. 定期進行滲透測試： 針對關鍵軟體和系統進行定期的第三方滲透測試，以主動發現潛在的漏洞，而不是被動等待攻擊者利用。

5. 供應商資安風險管理： 企業應將供應商資安風險管理納入其整體資安策略。這包括對供應商的資安實踐進行評估、建立漏洞通報與響應機制，並在合約中明確規定資安責任。

結論

SolarWinds Web Help Desk 的漏洞修補困境，是所有依賴第三方軟體的企業都必須面對的課題。它不僅僅是一次性的技術修補問題，更是一場關於資安韌性、持續監控與應急響應的長期戰役。企業必須從此事件中汲取教訓，強化其自身的資安防禦體系，並與資安社群緊密合作，共同應對日益複雜且變化的網路威脅。只有透過全面的防禦策略，才能在充滿挑戰的數位環境中保障業務運作的連續性與安全性。

資料來源：https://www.securityweek.com/solarwinds-makes-third-attempt-at-patching-exploited-vulnerability/