文章总结： 该文档回顾了SolarWinds自2020年SUNBURST供应链攻击至2026年Serv-U和WebHelpDesk产品系列漏洞的持续性安全威胁。核心揭示了从国家级APT到机会主义勒索软件团伙的攻击演变，暴露了软件供应链信任、暴露面管理和补丁循环等深层问题。关键发现包括攻击者利用合法更新渠道、文件传输服务的高风险性以及补丁绕过导致的持续漏洞。可操作建议包括重构供应链信任（如采用SBOM）、实施攻击面最小化、转向零信任架构以及提升组织的事件响应与韧性。 综合评分： 85 文章分类： 供应链安全,漏洞分析,威胁情报,安全建设,漏洞预警

SolarWinds安全事件回顾：从SUNBURST到Serv-U的持续性威胁

原创

ZM ZM

暗镜

2026年2月26日 08:00 辽宁

启示

引言：再次响起的警报

2026年2月，SolarWinds再次成为网络安全界的焦点。该公司发布了Serv-U 15.5.4版本，紧急修复了四个严重的远程代码执行漏洞（CVE-2025-40538、CVE-2025-40539、CVE-2025-40540、CVE-2025-40541），这些漏洞均被评为CVSS 9.1分的高危漏洞，攻击者一旦利用成功，可获得服务器的root权限。

这并非孤立事件。就在一个月前，SolarWinds的Web Help Desk产品刚刚经历了更为严峻的考验——CISA（美国网络安全与基础设施安全局）连续将多个关键漏洞列入”已知被利用漏洞目录”（KEV），要求联邦机构在72小时内完成修补。

从2020年的SUNBURST供应链攻击到如今的Serv-U漏洞，SolarWinds似乎始终处于网络攻击风暴的中心。这家IT基础设施管理软件巨头为何屡遭攻击？其安全事件又为企业网络安全带来了哪些深层启示？

一、2020 SUNBURST供应链攻击——现代网络战的里程碑

攻击时间线与手法

2020年12月，FireEye在调查自身网络入侵事件时，意外发现了震惊全球的SolarWinds供应链攻击。这是一次精心策划、执行完美的国家级网络间谍行动：

2019年9月：攻击者首次渗透SolarWinds内部网络

2019年10月：开始在Orion平台的编译服务器上部署名为”Sunspot”的后门投递工具

2019年9-11月：通过Sunspot在Orion源代码中植入”Sunburst”后门

2020年2月：对恶意代码进行更新优化，增强隐蔽性

2020年3-6月：SolarWinds发布包含后门的Orion更新，约18,000个组织下载了被感染的软件

攻击者采用了”步步为营”的策略：先通过社会工程学获取初始访问权限，然后长期潜伏、测试，最终通过合法的软件更新渠道传播恶意代码。Sunburst后门会休眠两周以躲避检测，随后与C2服务器通信，允许攻击者在目标网络中横向移动。

影响范围与后续发展

这次攻击的影响堪称灾难性：

政府机构：美国国土安全部、财政部、商务部、国防部等部门遭到入侵

科技企业：微软、英特尔、思科、FireEye等巨头受到影响

隐匿时长：攻击在被发现前已持续近9个月

更令人深思的是后续的法律与监管发展。2024年10月，美国证券交易委员会（SEC）对SolarWinds及其CISO Tim Brown提起欺诈指控，指控公司多年来忽视网络安全风险，向投资者隐瞒真实的安全状况。尽管SolarWinds否认指控，但这一诉讼开启了追究企业高管网络安全责任的先例。2025年7月，双方达成和解协议。

二、：Serv-U的”漏洞史”——文件传输软件的高风险性

如果说SUNBURST攻击展示了供应链的脆弱性，那么Serv-U文件传输软件的多次漏洞则揭示了另一类风险：面向互联网的文件传输服务本身就是高价值攻击目标。

2021年：CVE-2021-35211与Clop勒索软件

2021年，SolarWinds Serv-U被曝存在严重漏洞CVE-2021-35211，该漏洞允许远程代码执行。臭名昭著的Clop勒索软件团伙迅速将其武器化，利用该漏洞入侵企业网络并部署勒索软件。

文件传输软件之所以成为攻击者的”心头好”，是因为：

数据价值：这些系统通常存储和传输大量敏感的企业和客户数据

暴露面大：需要对外开放以支持业务伙伴的文件交换

权限较高：为了管理文件传输，通常拥有较高的系统权限

2024年：CVE-2024-28995路径遍历漏洞

2024年6月，网络安全公司Rapid7和GreyNoise监测到Serv-U的路径遍历漏洞（CVE-2024-28995）正在遭受主动利用。攻击者利用公开的概念验证（PoC）代码，尝试读取服务器上的敏感文件。CISA随即将该漏洞加入KEV目录，要求联邦机构紧急修补。

2026年：新一轮高危漏洞

2026年2月发布的四个漏洞延续了这一趋势：

| 漏洞编号 | 类型 | CVSS评分 | 影响 | | — | — | — | — | | CVE-2025-40538 | 访问控制突破 | 9.1 | 可创建系统管理员账户，以root身份执行任意代码 | | CVE-2025-40539 | 类型混淆 | 9.1 | 执行任意原生代码，获得root权限 | | CVE-2025-40540 | 类型混淆 | 9.1 | 执行任意原生代码，获得root权限 | | CVE-2025-40541 | 不安全直接对象引用(IDOR) | 9.1 | 以root权限执行原生代码 |

幸运的是，这四个漏洞都需要攻击者具备较高权限才能利用，这限制了潜在的攻击面——攻击者需要先通过其他手段获得管理员凭据或结合权限提升漏洞。

三、Web Help Desk的”补丁循环”——持续的安全挑战

如果说Serv-U的漏洞是间歇性的，那么Web Help Desk（WHD）在2024-2025年间的安全问题则呈现出一种令人担忧的”循环”模式。

2024年8月：CVE-2024-28986

SolarWinds修复了一个严重的Java反序列化漏洞（CVE-2024-28986，CVSS 9.8），该漏洞允许未经身份验证的远程代码执行。然而，补丁发布后不久，CISA就将其列入KEV目录，确认存在野外利用。

2024年10月：补丁绕过与硬编码凭据

在修复原始漏洞的过程中，又出现了新的问题：

CVE-2024-28988：Trend Micro Zero Day Initiative团队发现原始补丁存在绕过，可实现未经身份验证的攻击

CVE-2024-28987：在部署第一个补丁时意外暴露了硬编码凭据，同样被CISA确认正在遭受利用

2026年1月：第三次补丁尝试

2026年1月28日，SolarWinds发布WHD 2026.1版本，试图彻底解决问题。然而这次更新又引入了新的复杂情况：

CVE-2025-26399：新的补丁绕过，针对之前补丁的补丁（第三次迭代）

CVE-2025-40551、CVE-2025-40552、CVE-2025-40553、CVE-2025-40554：四个新的严重漏洞，包括反序列化RCE和身份验证绕过

2026年2月：确认野外利用

2月初，CISA确认CVE-2025-40551正在遭受主动利用，要求联邦机构在2月6日前完成修补。微软报告称，在2025年12月观察到的攻击活动中，攻击者可能利用这些漏洞作为零日漏洞，通过PowerShell下载payload，部署Zoho ManageEngine工具建立持久化访问，并使用DLL侧载技术窃取凭据。

这种”漏洞-补丁-绕过-再补丁”的循环，不仅暴露了代码质量的深层问题，也反映了现代软件安全维护的极端复杂性。

四、威胁格局的演变——从国家间谍到勒索团伙

SolarWinds遭受的攻击类型演变，映射了过去五年网络威胁格局的重大转变：

国家支持的高级持续性威胁（APT）

2020年的SUNBURST攻击被归因于俄罗斯国家支持的黑客组织。这类攻击的特点：

极度耐心：长期潜伏，精心策划

高度隐蔽：使用合法证书签名，融入正常网络流量

目标选择：从18,000个潜在受害者中筛选高价值目标进行深入渗透

机会主义勒索软件团伙

2021年的CVE-2021-35211利用则代表了另一类威胁——Clop等勒索软件团伙。他们的特点：

快速武器化：漏洞披露后迅速开发利用工具

规模化攻击：不挑目标，广泛扫描暴露在互联网上的系统

直接获利：通过加密数据索要赎金，或窃取数据用于双重勒索

当前威胁态势

根据CISA的KEV目录，目前SolarWinds有9个漏洞被确认正在或曾经被主动利用。Shodan数据显示，全球仍有超过12,000台Serv-U服务器暴露在互联网上（Shadowserver的估计则不到1,200台），这些系统构成了持续的风险敞口。

五、深层思考——企业网络安全的范式转变

SolarWinds系列事件迫使我们重新审视几个关键的安全范式：

1. 供应链信任的重构

SUNBURST攻击最深刻的教训是：我们不能再盲目信任软件供应商的更新机制。当攻击者能够污染软件构建流程，传统的”补丁即安全”理念就失效了。

企业需要：

软件物料清单（SBOM）：了解软件组件的构成

完整性验证：不仅验证数字签名，还要监控软件行为的异常

供应链风险评估：将供应商的安全实践纳入采购决策

2. 暴露面管理的紧迫性

Serv-U和Web Help Desk的反复被攻击凸显了暴露面管理的重要性：

资产发现：许多组织甚至不知道自己运行着SolarWinds产品

攻击面最小化：文件传输等服务是否真的需要暴露在互联网？

快速补丁能力：CISA要求的72小时修补窗口，对许多企业的变更管理流程是巨大挑战

3. 从”边界防御”到”零信任”

SolarWinds产品通常拥有较高的系统权限（Orion用于网络监控，Serv-U用于文件管理），一旦失守，攻击者就能在网络中自由移动。这强化了零信任架构的必要性：

最小权限原则：即使是管理软件，也不应默认拥有广泛访问权限

微隔离：限制横向移动的能力

持续验证：不信任任何内部流量，持续进行身份验证和授权检查

4. 披露与责任的平衡

SEC对SolarWinds的诉讼开启了新的监管时代。企业在网络安全事件中的披露义务、高管的个人责任、以及如何在透明度和商业利益之间取得平衡，都将成为未来几年的重要议题。

结语：在持续威胁中寻找韧性

SolarWinds的故事远未结束。2025年2月的Serv-U补丁只是最新的一章。从SUNBURST到Serv-U，从国家间谍到勒索团伙，这些事件共同描绘了一个现实：在复杂的网络生态系统中，没有绝对的安全，只有持续的韧性。

对于防御体，关键不在于是否会成为攻击目标（SolarWinds的客户遍布全球，任何企业都可能面临类似风险），而在于：

能否快速发现和响应威胁

能否在遭受攻击时保持业务连续性

能否从每次事件中学习并改进

正如SolarWinds在2020年攻击后的回应所示，危机管理的能力与预防能力同等重要。在威胁不断演变的今天，构建这种组织韧性，或许是比任何技术补丁都更重要的”安全更新”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《SolarWinds安全事件回顾：从SUNBURST到Serv-U的持续性威胁》