Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- SolarWinds Serv-U versions antérieures à 15.2.3 HF2
Résumé
Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2.
Cette vulnérabilité de type « jour zéro » (zero day) a été découverte par Microsoft et permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec des privilèges élevés. Microsoft déclare avoir détecté des exploitations ciblées de cette vulnérabilité.
Cependant, dans le cas où le SSH n’est pas activé sur votre produit SolarWinds Serv-U la vulnérabilité ne peut pas être exploitée.
Solution
Appliquer le correctif sans délai, voici la procédure à appliquer en fonction de la version de votre produit :
- Si vous disposez d’un produit en version 15.2.3 HF1, veuillez appliquer le correctif 15.2.3 HF2 disponible sur le portail client de l’éditeur ;
- Si vous disposez d’un produit en version 15.2.3, veuillez appliquer dans un premier temps le correctif 15.2.3 HF1, puis appliquer le correctif 15.2.3 HF2 ;
- Si vous disposez d’un produit en version antérieure à 15.2.3, il vous faudra dans un premier temps monter votre produit en version 15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis 15.2.3 HF2.
Informations d’aide à la détection de l’exploitation de cette vulnérabilité
En parallèle, le CERT-FR recommande de faire un contrôle du fichier de journalisation DebugSocketlog.txt. En effet, la vulnérabilité étant de type « Return Oriented Programming attack« , son exécution va lever l’exception suivante qui sera dans ce fichier :
L’éditeur indique cependant que la présence de cette exception n’implique par forcément qu’une exploitation de cette vulnérabilité a été réalisée.
La vérification des connections SSH et TCP est aussi très fortement recommandée. D’après l’éditeur, les connections SSH provenant des IPs suivantes seraient à considérer comme indicateur de compromission : 98.176.196.89, 68.235.178.32. Il en est de même pour les connexions TCP sur le port 443 de l’IP : 208.113.35.58.
Documentation
- Bulletin de sécurité SolarWinds CVE-2021-35211 du 09 juillet 2021
https://www.solarwinds.com/trust-center/security-advisories/CVE-2021-35211 - Référence CVE CVE-2021-35211
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35211