Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- SolarWinds Serv-U versions antérieures à 15.2.3 HF2
Résumé
Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2.
Cette vulnérabilité de type "jour zéro" (zero day) a été découverte par Microsoft et permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec des privilèges élevés. Microsoft déclare avoir détecté des exploitations ciblées de cette vulnérabilité.
Cependant, dans le cas où le SSH n'est pas activé sur votre produit SolarWinds Serv-U la vulnérabilité ne peut pas être exploitée.
Solution
Le CERT-FR recommande très fortement d'appliquer le correctif sans délai, voici la procédure à appliquer en fonction de la version de votre produit :
- Si vous disposez d'un produit en version 15.2.3 HF1, veuillez appliquer le correctif 15.2.3 HF2 disponible sur le portail client de l'éditeur ;
- Si vous disposez d'un produit en version 15.2.3, veuillez appliquer dans un premier temps le correctif 15.2.3 HF1, puis appliquer le correctif 15.2.3 HF2 ;
- Si vous disposez d'un produit en version antérieure à 15.2.3, il vous faudra dans un premier temps monter votre produit en version 15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis 15.2.3 HF2.
Informations d'aide à la détection de l'exploitation de cette vulnérabilité
En parallèle, le CERT-FR recommande de faire un contrôle du fichier de journalisation DebugSocketlog.txt. En effet, la vulnérabilité étant de type "Return Oriented Programming attack", son exécution va lever l'exception suivante qui sera dans ce fichier :
Xxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5
Exception levée lors de l'exploitation de la CVE-2021-352111
L'éditeur indique cependant que la présence de cette exception n'implique par forcément qu'une exploitation de cette vulnérabilité a été réalisée.
La vérification des connections SSH et TCP est aussi très fortement recommandée. D'après l'éditeur, les connections SSH provenant des IPs suivantes seraient à considérer comme indicateur de compromission : 98.176.196.89, 68.235.178.32. Il en est de même pour les connexions TCP sur le port 443 de l'IP : 208.113.35.58.
Documentation