SolarWinds Serv-U 远程代码执行漏洞风险提示

  • A+
所属分类:安全漏洞
SolarWinds Serv-U 远程代码执行漏洞风险提示


漏洞公告

    近日,安恒应急响应中心监测到solarwinds发布安全公告,修复了一处Serv-U中存在的远程代码执行漏洞,对应漏洞编号:CVE-2021-35211,未授权的攻击者可利用该漏洞在目标服务器上执行任意代码,可导致服务器被攻击者控制。

    官方公告参见:https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211


影响范围

受影响版本:Serv-U <= 15.2.3 HF1


安全版本:Serv-U 15.2.3 HF2


    通过安恒 SUMAP 平台对全球部署的SolarWinds Serv-U ftpd进行统计,最新查询分布情况如下: 


    全球分布:

SolarWinds Serv-U 远程代码执行漏洞风险提示

    国内分布:

SolarWinds Serv-U 远程代码执行漏洞风险提示



漏洞描述


    根据分析,该漏洞存在于SSH协议中,仅影响启用了SSH协议的SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP,若Serv-U环境中未启用SSH则不受此漏洞影响。


缓解措施


高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。


排查:

    1、可排查Serv-U是否启用了SSH,如果未启用则不受该漏洞影响。

    2、排查DebugSocketlog.txt日志文件,若出现类似以下异常表示产品可能遭到了攻击(引发异常的原因有多种,因此异常本身不一定是攻击的指标)

07] Tue 01Jun21 02:42:58 - EXCEPTION: C0000005;     CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066;     nPacketLength = 76; nBytesReceived = 80;     nBytesUncompressed = 156;     uchPaddingLength = 5

    3、排查是否存在以下可疑的IP连接

IP地址

协议

98.176.196.89

SSH

68.235.178.32

SSH

208.113.35.58

TCP(443端口)

处置:

    1、升级Serv-U至最新安全版本,升级路径如下:

软件版本

升级路径

Serv-U 15.2.3 HF1

升级至 Serv-U 15.2.3  HF2 

Serv-U  15.2.3

先升级至Serv-U 15.2.3  HF1 ,然后升级至 Serv-U 15.2.3  HF2 

15.2.3 之前的所有 Serv-U 版本

先升级至Serv-U  15.2.3 ,接着升级至Serv-U 15.2.3  HF1 ,然后升级至Serv-U 15.2.3  HF2

    2、配置访问控制策略,避免受影响的Serv-U暴露在公网

安恒应急响应中心

2021年07月






本文始发于微信公众号(安恒信息应急响应中心):SolarWinds Serv-U 远程代码执行漏洞风险提示

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: