欢迎user
新华三攻防实验室
2021/02/04
SolarWinds是一家知名的IT基础设施管理软件提供商,其旗下的SolarWinds Orion是一个全面的网络监控及管理平台。它能随着网络的快速发展以及不断扩张的网络需求而灵活应变,能迅速和轻松地扩展Orion强大的管理功能,如NetFlow流量分析,无线设备监控,以及其他应用软件。
近日,新华三攻防实验室威胁预警团队监测到国外安全研究人员披露了SolarWinds 多个高危漏洞,其中包含SolarWinds Orion Platform的远程代码执行漏洞(CVE-2021-25274)和信息泄露漏洞(CVE-2021-25275)及SolarWinds Serv-U FTP权限设置不当漏洞(CVE-2021-25276)。其中CVE-2021-25274漏洞危害较大,建议用户及时更新安装软件版本预防漏洞攻击。
CVE-2021-25274:远程代码执行
SolarWinds Orion Platform 2020.2.4之前版本中的收集器服务使用MSMQ(Microsoft Message Queue),并且没有对其私有消息队列设置权限。未经验证的远程客户端可以向收集器服务处理的TCP端口1801发送消息。而收集器服务以不安全的方式反序列化处理此消息,从而造成远程任意代码执行。
CVE-2021-25275:信息泄露
SolarWinds Orion Platform 2020.2.4之前的版本,后端的数据库凭据存储在本地非特权用户可读的SWNetPerfMon.DB文件中。任何有权访问Orion所在服务器的文件系统的用户都可以从该文件中读取数据库登录详细信息,包括登录名及其相关密码,导致信息泄露风险。
CVE-2021-25276:权限设置不当漏洞
在SolarWinds Serv-U FTP 15.2.2hotfix 1之前的版本中存在权限设置不当漏洞,任何经过FTP认证的用户利用此漏洞获取可对C盘的完全控制权,可以读取或替换任意文件。
受影响版本:
SolarWinds Orion Platform < 2020.2.4
SolarWinds Serv-U FTP < 15.2.2 Hotfix 1
CVE-2021-25274 高危
CVE-2021-25275 中危
CVE-2021-25276 中危
目前SolarWinds已发布升级补丁以修复漏洞,建议升级相关组件到安全版本:
SolarWinds Orion Platform: 2020.2.4
官方建议使用SolarWinds Orion Installer安装和升级Orion平台产品。由于SolarWinds Orion 为商业软件,建议联系软件供应商获取进一步支持。
SolarWinds Serv-U FTP:15.2.2 Hotfix 1
SolarWinds Serv-U补丁下载链接:https://downloads.solarwinds.com/solarwinds/Release/HotFix/Serv-U-15.2.2-Hotfix-1.zip
若暂时无法升级,在不影响业务正常运行的情况下通过以下方法临时缓解影响:
1、 加强访问控制策略,只允许可信任的内网IP访问Orion平台,禁止对公网开放1801端口。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/full-system-control-with-new-solarwinds-orion-based-and-serv-u-ftp-vulnerabilities/