SolarWinds多个高危漏洞风险通告,可能导致远程代码执行

2021-02-03 20:53:10
安全研究人员在SolarWinds Orion平台发现了两个漏洞(CVE-2021-25274、CVE-2021-25275),而在公司的Windows Serv-U FTP服务器中发现了第三个漏洞(CVE-2021-25276),在2020年12月曝光的针对SolarWinds Orion平台的供应链攻击中没有利用这三个漏洞,针对SolarWinds的供应链攻击事件引发全球关注。

漏洞描述:

安全研究人员在SolarWinds Orion平台发现了两个漏洞(CVE-2021-25274CVE-2021-25275),而在公司的Windows Serv-U FTP服务器中发现了第三个漏洞(CVE-2021-25276),在2020年12月曝光的针对SolarWinds Orion平台的供应链攻击中没有利用这三个漏洞,针对SolarWinds的供应链攻击事件引发全球关注。

 

安全专家强烈建议SolarWinds用户安装最新版本的Orion Platform和Serv-U FTP,以减轻与该缺陷相关的风险。研究人员表示,计划于2月9日发布概念验证(PoC)代码。

 

漏洞编号:

CVE-2021-25274:高危

CVE-2021-25275:中危

CVE-2021-25276:中危


漏洞详情:

CVE-2021-25274:SolarWinds Orion远程代码执行漏洞

远程攻击者可在无需认证的情况下通过TCP 1801端口将恶意请求发送进入MSMQ消息队列,触发反序列化,造成远程代码执行。


新发现的安全漏洞包括对Microsoft消息队列(MSMQ)的不当使用,该消息被SolarWinds Orion Collector服务使用,从而允许未经身份验证的用户通过TCP 1801端口将消息发送到此类队列,并最终因不安全的反序列化而造成RCE(远程代码执行)风险,该漏洞可能导致服务器被完全控制。

CVE-2021-25275:SolarWinds Orion敏感信息泄漏漏洞

本地攻击者可在无需特权的情况下直接访问并控制SolarWinds Orion后端数据库SOLARWINDS_ORION,导致敏感信息泄漏。


在Orion平台中发现的第二个漏洞与不安全的后端数据库存储凭据(名为“ SOLARWINDS_ORION”)有关,该凭据存储在配置文件中,导致本地非特权用户可以完全控制数据库,从而窃取信息,甚至在SolarWinds Orion产品中添加管理员级别用户。

CVE-2021-25276:SolarWinds Serv-U FTP (Windows)权限设置不当漏洞

任何经过FTP认证的用户将具备对C盘的完全控制权限,可以读取、替换其中的任意文件。


本次披露的第3个高危漏洞,存在于Windows的SolarWinds Serv-U FTP服务器。该漏洞可能使任何可以本地登录或通过远程桌面登录系统的攻击者都可以通过FTP登录后读取、或替换C驱动器上的任何文件。


受影响的版本:

SolarWinds Orion < 2020.2.4
SolarWinds ServU-FTP < 15.2.2 Hotfix 1


安全版本:

SolarWinds Orion Platform 2020.2.4
SolarWinds ServU-FTP 15.2.2 Hotfix 1

漏洞等级:高危

 

漏洞修复:

建议SolarWinds用户安装最新版本的Orion Platform和Serv-U FTP。

 

参考链接:

https://thehackernews.com/2021/02/3-new-severe-security-vulnerabilities.html

 

腾讯安全对SolarWinds供应链攻击事件的技术分析及产品应对

https://s.tencent.com/research/report/1199.html


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯