首頁 > 安全研究 > 安全通報 > 安全通告

SolarWinds Orion多個安全漏洞

發布時間 2021-02-04

0x00 漏洞概述

去年,SolarWinds供應鏈攻擊事件引發全球關注。

2021年02月03日,SolarWinds Orion平臺和SolarWinds Serv-U FTP服務器被披露存在多個安全漏洞。SolarWinds Orion平臺供應鏈攻擊事件中沒有利用這些漏洞。目前,相關漏洞已經全部修復,但研究人員表示,這些漏洞的PoC將于02月09日發布。

 

0x01 漏洞詳情

image.png

 

本次披露的漏洞如下:

產品

CVE

類型

評級

SolarWinds   Orion平臺

CVE-2021-25274

RCE

高危

CVE-2021-25275

信息泄露

中危

SolarWinds   Serv-U FTP服務器

CVE-2021-25276

訪問控制不當

中危

 

SolarWinds Orion遠程代碼執行漏洞(CVE-2021-25274)

SolarWinds Collector Service 使用 MSMQ(Microsoft消息隊列),但并且未在其專用隊列上設置權限,未經身份驗證的遠程攻擊者可以通過TCP端口1801將惡意消息發送到隊列,在處理此類消息時,收集器服務將以不安全的方式反序列化它們,從而允許遠程攻擊者以LocalSystem的方式遠程執行任意代碼,最終導致服務器被完全控制。

image.png

SolarWinds通過在新消息到達時添加數字簽名驗證來修復了此漏洞,在沒有有效的簽名的情況下將不再處理消息,但MSMQ仍然是未經身份驗證的,可以接收來自任何人的消息。

 

SolarWinds Orion敏感信息泄露漏洞(CVE-2021-25275)

SolarWinds Orion后端數據庫SOLARWINDS_ORION中的存儲憑證被放在一個非管理員用戶可讀的文件中,導致任何可以訪問文件系統的用戶都可以從該系統中讀取Orion數據庫的登錄信息,并且可使用憑證來獲得Orion數據庫的所有者權限。

image.png

 

SolarWinds Serv-U FTP (Windows)訪問控制不當漏洞(CVE-2021-25276)

該漏洞存在于Windows的SolarWinds Serv-U FTP服務器中,任何可以本地登錄或通過遠程桌面登錄系統的攻擊者都可以通過利用此漏洞來登錄FTP,最終讀取或替換C盤上的任何文件。

 

影響范圍

SolarWinds Orion < 2020.2.4

SolarWinds ServU-FTP < 15.2.2 Hotfix 1

 

 

0x02 處置建議

目前相關漏洞已被修復,建議升級至最新版本。

SolarWinds Orion Platform 2020.2.4

SolarWinds ServU-FTP 15.2.2 Hotfix 1

下載鏈接:

https://documentation.solarwinds.com/en/Success_Center/orionplatform/content/release_notes/orion_platform_2020-2-4_release_notes.htm

https://downloads.solarwinds.com/solarwinds/Release/HotFix/Serv-U-15.2.2-Hotfix-1.zip

 

0x03 參考鏈接

https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-vulnerabilities-in-the-orion-platform/

https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=28389

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25274

 

0x04 時間線

2021-02-03  Trustwave SpiderLabs披露漏洞

2021-02-04  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇