近日,SolarWinds发布安全公告,Microsoft 在其Serv-U Managed File Transfer Server 和 Serv-U Secured FTP发现了一个安全漏洞(CVE-2021-35211),成功利用此漏洞的攻击者可以使用特权运行任意代码。该漏洞目前已发现在野利用。
漏洞描述
SolarWinds 是一家美国软件开发公司,业务为帮助企业管理网络、系统和信息技术基础设施。
CVE-2021-35211
成功利用该漏洞会导致Serv-U产品抛出异常,然后用攻击者的代码覆盖异常处理程序,导致远程代码执行,包括安装恶意程序以及查看、更改、或删除敏感数据。(如果环境中未启用SSH,则该漏洞不存在)
CVE 编号
CVE-2021-35211
FOFA 查询
影响范围
SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP 所有版本
安全版本:15.2.3 HF2
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="SolarWinds-Serv-U-FTP")共有 135,659 个相关服务对外开放。中国使用数量最多,共有 59,449 个;美国第二,共有 43,345 个;澳大利亚第三,共有 7,126 个;中国香港第四,共有 5,726 个;俄罗斯第五,共有 1,888 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区广东使用数量最多,共有 7,182 个;福建第二,共有 3,072 个;北京第三,共有 3,051 个;上海第四,共有 2,936 个;江苏第五,共有 2,536 个。
修复建议
SolarWinds 已于 2021 年 7 月 9 日星期五发布了修补程序:https://customerportal.solarwinds.com/
临时修复建议:在管理控制台中禁用SSH监听器。
威胁排查:
1. 查看是否启用了ssh,如果环境中未启用SSH,则该漏洞不存在。
2. 由于漏洞位于异常处理程序中,因此可在 DebugSocketLog.txt 文件查找相关异常(注:其它原因也可能引发相关异常)。
3. 排查 SSH 可疑连接。(已知的威胁IP:98.176.196.89、68.235.178.32、208.113.35.58)
参考
[1] https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
[3] https://mp.weixin.qq.com/s/E2j3bkRAiUOXeT4eyNKNIg
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。