目录
一、概述
2021年7月9日,SolarWinds发布安全公告,Microsoft在其Serv-U产品中发现了一个远程代码执行0 day漏洞(CVE-2021-35211),成功利用此漏洞的远程攻击者能够以特殊权限执行任意代码,然后在受影响的系统上安装并运行程序、查看、更改或删除数据等。目前该漏洞已经出现在野利用。
该漏洞仅存在于SolarWinds Serv-U Managed File Transfer和Serv-U Secure FTP中,其它 SolarWinds 产品不受影响,不使用 Serv-U 的 N-able 客户也不受此漏洞的影响。但需要注意的是,Serv-U Gateway是这两个产品的一个组件,而不是一个单独的产品。
此外,据SolarWinds表示,如果Serv-U 环境中未启用 SSH,则该漏洞不存在。
二、影响版本
Serv-U 版本 < 15.2.3 HF2
三、漏洞测试
具体漏洞的实现参照github公开的poc,这里只针对15.2.3.717版本
GitHub - NattiSamson/Serv-U-CVE-2021-35211: Simple Serv-U CVE-2021-35211 PoC
https://github.com/BishopFox/CVE-2021-35211
四、应急响应
1、首先探查Serv_U的版本号是否是漏洞版本,右下角图标鼠标右键点击,“关于 Serv_U Tray”
2、查看是否开启ssh监听
注:这里不单是ser_U本身是否开启SSH监听,还需要看该端口是否开放到公网(出口网关,安全组等)
3、查看是否开启记录日志
4、由于漏洞位于异常处理程序中,因此可以在 DebugSocketlog.txt查看是异常信息,默认位置为:C:\ProgramData\RhinoSoft\Serv-U\DebugSoketog.txt(注:其他原因也可能触发异常)
类似如下内容:
[07] Tue 15Mar22 15:12:36 - SSH Protocol Error: packet size exceeds maximum allowed.: nRequiredSize = 4294967284; rnPacketLength = 0; m_bCipherActive = 1; rbUsed = 1; rnBufferSize = 2229
5、查看系统powershell日志
一般利用此漏洞的攻击者会调用powershell执行恶意脚本,从而植入病毒等操作。
五、修复建议
目前官方已针对该漏洞发布了修复程序,请受影响的用户尽快安装更新进行防护。
官方下载链接:https://customerportal.solarwinds.com/
安全版本:Serv-U 15.2.3 HF2