漏洞公告
近日,安恒应急响应中心监测到solarwinds发布安全公告,修复了一处Serv-U中存在的远程代码执行漏洞,对应漏洞编号:CVE-2021-35211,未授权的攻击者可利用该漏洞在目标服务器上执行任意代码,可导致服务器被攻击者控制。
官方公告参见:https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
一
影响范围
受影响版本:Serv-U <= 15.2.3 HF1
安全版本:Serv-U 15.2.3 HF2
通过安恒 SUMAP 平台对全球部署的SolarWinds Serv-U ftpd进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
根据分析,该漏洞存在于SSH协议中,仅影响启用了SSH协议的SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP,若Serv-U环境中未启用SSH则不受此漏洞影响。
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。
排查:
1、可排查Serv-U是否启用了SSH,如果未启用则不受该漏洞影响。
2、排查DebugSocketlog.txt日志文件,若出现类似以下异常表示产品可能遭到了攻击(引发异常的原因有多种,因此异常本身不一定是攻击的指标)
07] Tue 01Jun21 02:42:58 - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5 3、排查是否存在以下可疑的IP连接
|
IP地址 |
协议 |
|
98.176.196.89 |
SSH |
|
68.235.178.32 |
SSH |
|
208.113.35.58 |
TCP(443端口) |
处置:
1、升级Serv-U至最新安全版本,升级路径如下:
|
软件版本 |
升级路径 |
|
Serv-U 15.2.3 HF1 |
升级至 Serv-U 15.2.3 HF2 |
|
Serv-U 15.2.3 |
先升级至Serv-U 15.2.3 HF1 ,然后升级至 Serv-U 15.2.3 HF2 |
|
15.2.3 之前的所有 Serv-U 版本 |
先升级至Serv-U 15.2.3 ,接着升级至Serv-U 15.2.3 HF1 ,然后升级至Serv-U 15.2.3 HF2 |
2、配置访问控制策略,避免受影响的Serv-U暴露在公网
安恒应急响应中心
2021年07月
本文始发于微信公众号(安恒信息应急响应中心):SolarWinds Serv-U 远程代码执行漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论