Serv_U Cve-2021-35211漏洞排查

最新推荐文章于 2024-07-02 09:59:47 发布
最新推荐文章于 2024-07-02 09:59:47 发布
阅读量530 收藏
点赞数
分类专栏: 应急响应 渗透 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132272703
版权

目录

一、概述

二、影响版本

三、漏洞测试

四、应急响应

五、修复建议

一、概述

2021年7月9日,SolarWinds发布安全公告,Microsoft在其Serv-U产品中发现了一个远程代码执行0 day漏洞(CVE-2021-35211),成功利用此漏洞的远程攻击者能够以特殊权限执行任意代码,然后在受影响的系统上安装并运行程序、查看、更改或删除数据等。目前该漏洞已经出现在野利用。

该漏洞仅存在于SolarWinds Serv-U Managed File Transfer和Serv-U Secure FTP中,其它 SolarWinds 产品不受影响,不使用 Serv-U 的 N-able 客户也不受此漏洞的影响。但需要注意的是,Serv-U Gateway是这两个产品的一个组件,而不是一个单独的产品。

此外,据SolarWinds表示,如果Serv-U 环境中未启用 SSH,则该漏洞不存在。

二、影响版本

Serv-U 版本 < 15.2.3 HF2

三、漏洞测试

具体漏洞的实现参照github公开的poc,这里只针对15.2.3.717版本

GitHub - NattiSamson/Serv-U-CVE-2021-35211: Simple Serv-U CVE-2021-35211 PoC

https://github.com/BishopFox/CVE-2021-35211

FreeBuf网络安全行业门户

四、应急响应

1、首先探查Serv_U的版本号是否是漏洞版本,右下角图标鼠标右键点击,“关于 Serv_U Tray”

 

2、查看是否开启ssh监听

 

注:这里不单是ser_U本身是否开启SSH监听,还需要看该端口是否开放到公网(出口网关,安全组等)

3、查看是否开启记录日志

4、由于漏洞位于异常处理程序中,因此可以在 DebugSocketlog.txt查看是异常信息,默认位置为:C:\ProgramData\RhinoSoft\Serv-U\DebugSoketog.txt(注:其他原因也可能触发异常)

类似如下内容:

[07] Tue 15Mar22 15:12:36 - SSH Protocol Error: packet size exceeds maximum allowed.: nRequiredSize = 4294967284; rnPacketLength = 0; m_bCipherActive = 1; rbUsed = 1; rnBufferSize = 2229

 

5、查看系统powershell日志

一般利用此漏洞的攻击者会调用powershell执行恶意脚本,从而植入病毒等操作。

 

五、修复建议

目前官方已针对该漏洞发布了修复程序,请受影响的用户尽快安装更新进行防护。

官方下载链接:https://customerportal.solarwinds.com/

安全版本:Serv-U 15.2.3 HF2

dayouziei
关注
专栏目录
SolarWinds Serv-U 目录遍历漏洞复现(CVE-2024-28995)
0xSec
06-14 1453
SolarWinds Serv-U 存在目录遍历漏洞(CVE-2024-28995),SolarWinds Serv-U 容易受到目录横向漏洞的影响,未经身份认证的远程攻击者通过构造特殊的请求可以下载读取远程目标系统上的任意文件,对机密性造成很高的影响。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议企业尽快做好自查及防护。
CVE-2021-35211: SolarWinds Serv-U SSH 漏洞分析
HBohan的博客
09-07 2564
SolarWinds发布安全公告,修复了Serv-U中存在的远程代码执行漏洞CVE-2021-35211),该漏洞为微软发现在野利用后向SolarWinds报告,并提供了漏洞利用的概念证明。未经身份验证的远程攻击者利用此漏洞可在受影响的服务器上以特殊权限执行任意代码,请相关用户尽快采取措施进行防护。 该漏洞存在于SSH协议中,与 SUNBURST 供应链攻击无关,仅影响SolarWinds Serv-U Managed File Transfer和Serv-U Secure FTP。使用Serv-U管理控
CVE-2019-12181 Serv-U 15.1.6 Privilege Escalation漏洞复现
墙角睡大觉的专栏
07-13 1173
0X1 漏洞概述 Serv-U是Windows平台和Linux平台的安全FTP服务器(FTPS,SFTP,HTTPS),是一个优秀的,安全的文件管理,文件传输和文件共享的解决方案。同时也是应用最广泛的FTP服务器软件。 在近日,有安全研究人员公布了一个该软件15.1.6版本的一个本地权限提升漏洞。在Linux上,ftp服务器是SUID可执行文件并以root身份运行 因此,即使只能在本地执行的攻击仍...
Serv-U v6.0 本地权限提升漏洞
weixin_33686714的博客
11-08 1410
受影响系统]:Serv-UFTPServer6.0Serv-UFTPServer5.1.0.0Serv-UFTPServer5.0.0.9Serv-UFTPServer5.0.0.4Serv-UFTPServer5.0Serv-UFTPServer4.1.0.3Serv-UFTPServer4.1.0.11Ser...
Serv-U漏洞解析 防患于未然 serv_u安全设置
09-30
Serv-U是一个极为强大的FTP服务器软件,而近两年不断爆出的各个版本的安全漏洞,却让大家在使用Serv-U时不得不多留个心眼。本文对Serv-U漏洞进行详细地分析,防患于未然,安全设置以后还是可以使用的
Serv-U7.0.0.4.rar_Serv-U 7.0.0._ser-u7.0_serv u7_serv u7.0.0_ser
09-23
Serv-U7.0.0.4 carck Serv-U7.0.0.4 carck
漏洞复现】【含fofa搜索语法】AVD-2024-28995 SolarWinds Serv-U FTP 目录遍历文件读取漏洞CVE-2024-28995)
最新发布
zzxx191z的博客
07-02 366
漏洞复现------SolarWinds是一款全球最受欢迎的IT统一运维监控管理平台,用于网络管理和监控工具。它可以监控、发现网络设备,易于使用,适用于中小企业和大型企业网络部署与搭建。
通过Kali利用serv-u漏洞获取win7系统管理员权限
weixin_60182338的博客
02-21 1937
渗透测试仅用于个人的学习以提升能力,不能用于非法的恶意攻击。
Serv-U漏洞以及原因分析(转)
cuanjun1153的博客
09-19 1297
Serv-U漏洞以及原因分析(转)[@more@]  Serv-U FTP Server远程拒绝服务漏洞以及原因分析  涉及程序版本:   Serv-U FTP Server v4.0.0.4(以前版本也可能存在该漏洞,没有测试...
Serv-U安装包及补丁
11-14
Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件!与Windows自带的FTP服务器不同的是:Serv-U同时支持主动和被动式FTP服务器搭建,更方便个人或小团队用户映射外网访问使用
serv-u越权遍历.doc
06-25
serv-u越权遍历方法,代码.18. Affected: 19. 220 Serv-U FTP Server v7.3 ready... 20. 220 Serv-U FTP Server v7.1 ready... 21. 220 Serv-U FTP Server v6.4 ready... 22. 220 Serv-U FTP Server v8.2 ready... 23. 220 Serv-U FTP Server v10.5 ready... 24.
Serv-U防溢出提权攻击解决设置方法
01-20
前言: 大家应该都还没有忘记三年前在Serv-U5.004版的之前所有版本的”Serv-U FTPMDTM命令缓冲区溢出”与”Serv-U FTP服务器LIST命令超长-l参数远程缓冲区溢出漏洞”吧,这个漏洞让很多服务器管理员立坐不安,也让很多大型的站点、甚至电信级的服务器沦陷了…随着Serv-U新版本的推出,这个漏同已经不存在了;虽然溢出不存在了,但黑客永远也没有停止,所以伴随着来的又是Serv-U5.0到6.0之黑客常用的本地提升权限缺陷。(注:最常见的就如webshell+su提权,我在 Baidu输入”Serv-U提权”关键词,搜索结果“百度一下,找到相关网页约34,000篇,用时0.
Serv-U服务器漏洞,黑客可远程执行程序
w3cschools的博客
09-07 1531
近日,微软已经分享了有关影响 SolarWinds Serv-U 托管文件传输服务的现已修复、积极利用的关键安全漏洞的技术细节。 该漏洞源于 Serv-U 实施的 Secure Shell (SSH) 协议,攻击者可以利用该漏洞运行任意代码在受感染的系统上,包括安装恶意程序以及查看、更改或删除敏感数据的能力。 知名网络安全专家、东方联盟创始人郭盛华在描述该漏洞的详细文章中说:“Serv-U SSH 服务器存在一个预认证远程代码执行漏洞,可以在默认配置中轻松可靠地利用该漏洞。黑客攻击者可以通过连接到开
Serv-u Ftp Server 本地权限提升漏洞
weixin_34174422的博客
04-28 287
Serv-u Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server,功能强大,使用方便,Serv-u>3.x版本存在本地权限提升漏洞,使用guest权限结合Exp可以以system权限运行程序,通过Webshell结合Exp提升权限已经成了很常用提升方法。 漏洞简介: 漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆...
2019-05-21 Serv -U FTP-Server;Windows LSASS漏洞
weixin_30289831的博客
05-21 202
Serv -U FTP-Server漏洞 Windows LSASS漏洞: 转载于:https://www.cnblogs.com/wbly2019/p/10899759.html
Win10早期版本下月终止服务、百万医疗设备存在漏洞风险|11月10日全球网络安全热点
qcloud_security的博客
11-11 3896
安全资讯报告 REvil勒索软件的关联公司在全球范围内被抓捕 罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击。 据欧洲刑警组织称,据信嫌疑人策划了5,000多次勒索软件攻击,并向受害者勒索了近600,000美元。这些逮捕发生在11月4日,是一项名为GoldDust的协调行动的一部分,该行动导致自2021年2月以来在科威特和韩国逮捕了另外三名REvil附属公司和两名与GandCrab有关联的嫌疑人。 据称,与...
漏洞复现】SolarWinds——任意文件读取
LongL_GuYu的博客
06-29 680
SolarWinds其`Serv-UFTP`服务存在目录遍历导致任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。
微软发现已遭在野利用的 SolarWinds 新0day
smellycat000的专栏
07-13 165
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士美国软件公司 SolarWinds 在本周六发布安全更新,修复 Serv-U 文件传输技术中已遭在野利用的 0day。相关攻击和漏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值