关于SolarWinds Serv-U 远程代码执行漏洞的通报

日期:2021-07-27浏览次数:23


近日,SolarWinds发布安全公告,Microsoft 在其Serv-U Managed File Transfer Server 和 Serv-U Secured FTP发现了一个安全漏洞(CVE-2021-35211),成功利用此漏洞的攻击者可以使用特权运行任意代码。该漏洞目前已发现并被利用。

漏洞描述

SolarWinds 是一家美国软件开发公司,业务为帮助企业管理网络、系统和信息技术基础设施。

CVE-2021-35211

成功利用该漏洞会导致Serv-U产品抛出异常,然后用攻击者的代码覆盖异常处理程序,导致远程代码执行,包括安装恶意程序以及查看、更改、或删除敏感数据。(如果环境中未启用SSH,则该漏洞不存在)

影响范围

SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP 所有版本

安全版本:15.2.3 HF2

修复建议

SolarWinds 已于2021年7月9日星期五发布了修补程序:https://customerportal.solarwinds.com/

临时修复建议:在管理控制台中禁用SSH监听器。

威胁排查:

1. 查看是否启用了ssh,如果环境中未启用SSH,则该漏洞不存在。

2. 由于漏洞位于异常处理程序中,因此可在 DebugSocketLog.txt 文件查找相关异常(注:其它原因也可能引发相关异常)。

3. 排查 SSH 可疑连接。(已知的威胁IP:98.176.196.89、68.235.178.32、208.113.35.58)




网络与信息技术中心

2021年7月27日