Nouvelle faille Zero Day pour SolarWinds

Microsoft vient de découvrir l’existence d’une vulnérabilité de sécurité activement exploitée avec les produits SolarWinds Serv-U Managed File Transfer Server et Secured FTP. Des correctifs sont à appliquer de toute urgence.

 

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • SolarWinds Serv-U versions antérieures à 15.2.3 HF2

Résumé

Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2.

Cette vulnérabilité de type « jour zéro » (zero day) a été découverte par Microsoft et permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec des privilèges élevés. Microsoft déclare avoir détecté des exploitations ciblées de cette vulnérabilité.

Cependant, dans le cas où le SSH n’est pas activé sur votre produit SolarWinds Serv-U la vulnérabilité ne peut pas être exploitée.

Solution

Appliquer le correctif sans délai, voici la procédure à appliquer en fonction de la version de votre produit :

  • Si vous disposez d’un produit en version 15.2.3 HF1, veuillez appliquer le correctif 15.2.3 HF2 disponible sur le portail client de l’éditeur ;
  • Si vous disposez d’un produit en version 15.2.3, veuillez appliquer dans un premier temps le correctif 15.2.3 HF1, puis appliquer le correctif 15.2.3 HF2 ;
  • Si vous disposez d’un produit en version antérieure à 15.2.3, il vous faudra dans un premier temps monter votre produit en version 15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis 15.2.3 HF2.

 

Informations d’aide à la détection de l’exploitation de cette vulnérabilité

En parallèle, le CERT-FR recommande de faire un contrôle du fichier de journalisation DebugSocketlog.txt. En effet, la vulnérabilité étant de type « Return Oriented Programming attack« , son exécution va lever l’exception suivante qui sera dans ce fichier :

 

Xxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5 
Exception levée lors de l’exploitation de la CVE-2021-352111

L’éditeur indique cependant que la présence de cette exception n’implique par forcément qu’une exploitation de cette vulnérabilité a été réalisée.

La vérification des connections SSH et TCP est aussi très fortement recommandée. D’après l’éditeur, les connections SSH provenant des IPs suivantes seraient à considérer comme indicateur de compromission : 98.176.196.89, 68.235.178.32. Il en est de même pour les connexions TCP sur le port 443 de l’IP : 208.113.35.58.

 

 

Documentation

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *