大柚子

这世界不过如此

概述

2021年7月9日,SolarWinds发布安全公告,Microsoft在其Serv-U产品中发现了一个远程代码执行0 day漏洞(CVE-2021-35211),成功利用此漏洞的远程攻击者能够以特殊权限执行任意代码,然后在受影响的系统上安装并运行程序、查看、更改或删除数据等。目前该漏洞已经出现在野利用。

该漏洞仅存在于SolarWinds Serv-U Managed File Transfer和Serv-U Secure FTP中,其它 SolarWinds 产品不受影响,不使用 Serv-U 的 N-able 客户也不受此漏洞的影响。但需要注意的是,Serv-U Gateway是这两个产品的一个组件,而不是一个单独的产品。

此外,据SolarWinds表示,如果Serv-U 环境中未启用 SSH,则该漏洞不存在。

影响版本

Serv-U 版本 < 15.2.3 HF2

漏洞测试

具体漏洞的实现参照github公开的poc,这里只针对15.2.3.717版本

https://github.com/NattiSamson/Serv-U-CVE-2021-35211

https://github.com/BishopFox/CVE-2021-35211

https://m.freebuf.com/vuls/289921.html

应急响应

1、首先探查Serv_U的版本号是否是漏洞版本,右下角图标鼠标右键点击,“关于 Serv_U Tray”

2、查看是否开启ssh监听

注:这里不单是ser_U本身是否开启SSH监听,还需要看该端口是否开放到公网(出口网关,安全组等)

3、查看是否开启记录日志

4、由于漏洞位于异常处理程序中,因此可以在 DebugSocketlog.txt查看是异常信息,默认位置为:C:\ProgramData\RhinoSoft\Serv-U\DebugSoketog.txt(注:其他原因也可能触发异常)

类似如下内容:


&#91;07] Tue 15Mar22 15:12:36 - SSH Protocol Error: packet size exceeds maximum allowed.: nRequiredSize = 4294967284; rnPacketLength = 0; m_bCipherActive = 1; rbUsed = 1; rnBufferSize = 2229

5、查看系统powershell日志

一般利用此漏洞的攻击者会调用powershell执行恶意脚本,从而植入病毒等操作。

修复建议

目前官方已针对该漏洞发布了修复程序,请受影响的用户尽快安装更新进行防护。

官方下载链接:https://customerportal.solarwinds.com/

安全版本:Serv-U 15.2.3 HF2

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。