CERTFR-2021-ALE-015
Vulnerability from certfr_alerte

Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2.

Cette vulnérabilité de type "jour zéro" (zero day) a été découverte par Microsoft et permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec des privilèges élevés. Microsoft déclare avoir détecté des exploitations ciblées de cette vulnérabilité.

Cependant, dans le cas où le SSH n'est pas activé sur votre produit SolarWinds Serv-U la vulnérabilité ne peut pas être exploitée.

Solution

Le CERT-FR recommande très fortement d'appliquer le correctif sans délai, voici la procédure à appliquer en fonction de la version de votre produit :

  • Si vous disposez d'un produit en version 15.2.3 HF1, veuillez appliquer le correctif 15.2.3 HF2 disponible sur le portail client de l'éditeur ;
  • Si vous disposez d'un produit en version 15.2.3, veuillez appliquer dans un premier temps le correctif 15.2.3 HF1, puis appliquer le correctif 15.2.3 HF2 ;
  • Si vous disposez d'un produit en version antérieure à 15.2.3, il vous faudra dans un premier temps monter votre produit en version 15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis 15.2.3 HF2.

Informations d'aide à la détection de l'exploitation de cette vulnérabilité

En parallèle, le CERT-FR recommande de faire un contrôle du fichier de journalisation DebugSocketlog.txt. En effet, la vulnérabilité étant de type "Return Oriented Programming attack", son exécution va lever l'exception suivante qui sera dans ce fichier :

bash Xxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5 Exception levée lors de l'exploitation de la CVE-2021-35211

L'éditeur indique cependant que la présence de cette exception n'implique par forcément qu'une exploitation de cette vulnérabilité a été réalisée.

La vérification des connections SSH et TCP est aussi très fortement recommandée. D'après l'éditeur, les connections SSH provenant des IPs suivantes seraient à considérer comme indicateur de compromission : 98.176.196.89, 68.235.178.32. Il en est de même pour les connexions TCP sur le port 443 de l'IP : 208.113.35.58.

Impacted products
Vendor Product Description
SolarWinds Serv-U SolarWinds Serv-U versions antérieures à 15.2.3 HF2
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "SolarWinds Serv-U versions ant\u00e9rieures \u00e0 15.2.3 HF2",
      "product": {
        "name": "Serv-U",
        "vendor": {
          "name": "SolarWinds",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2021-10-19",
  "content": "## Solution\n\n**Le CERT-FR recommande tr\u00e8s fortement d\u0027appliquer le correctif sans\nd\u00e9lai,** voici la proc\u00e9dure \u00e0 appliquer en fonction de la version de\nvotre produit :\n\n-   Si vous disposez d\u0027un produit en version 15.2.3 HF1, veuillez\n    appliquer le correctif 15.2.3 HF2 disponible sur le portail client\n    de l\u0027\u00e9diteur ;\n-   Si vous disposez d\u0027un produit en version 15.2.3, veuillez appliquer\n    dans un premier temps le correctif 15.2.3 HF1, puis appliquer le\n    correctif 15.2.3 HF2 ;\n-   Si vous disposez d\u0027un produit en version ant\u00e9rieure \u00e0 15.2.3, il\n    vous faudra dans un premier temps monter votre produit en version\n    15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis\n    15.2.3 HF2.\n\n\u00a0\n\n### Informations d\u0027aide \u00e0 la d\u00e9tection de l\u0027exploitation de cette vuln\u00e9rabilit\u00e9\n\nEn parall\u00e8le, le CERT-FR recommande de faire un contr\u00f4le du fichier de\njournalisation *DebugSocketlog.txt*. En effet, la vuln\u00e9rabilit\u00e9 \u00e9tant de\ntype \"*Return Oriented Programming attack*\", son ex\u00e9cution va lever\nl\u0027exception suivante qui sera dans ce fichier :\n\n```bash\nXxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5\n```\n*Exception lev\u00e9e lors de l\u0027exploitation de la CVE-2021-35211*\n\nL\u0027\u00e9diteur indique cependant que la pr\u00e9sence de cette exception\nn\u0027implique par forc\u00e9ment qu\u0027une exploitation de cette vuln\u00e9rabilit\u00e9 a\n\u00e9t\u00e9 r\u00e9alis\u00e9e.\n\nLa v\u00e9rification des connections SSH et TCP est aussi tr\u00e8s fortement\nrecommand\u00e9e. D\u0027apr\u00e8s l\u0027\u00e9diteur, les connections SSH provenant des IPs\nsuivantes seraient \u00e0 consid\u00e9rer comme indicateur de compromission :\n98.176.196.89, 68.235.178.32. Il en est de m\u00eame pour les connexions TCP\nsur le port 443 de l\u0027IP : 208.113.35.58.\n\n\u00a0\n\n\u00a0\n",
  "cves": [
    {
      "name": "CVE-2021-35211",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-35211"
    }
  ],
  "initial_release_date": "2021-07-13T00:00:00",
  "last_revision_date": "2021-10-19T00:00:00",
  "links": [],
  "reference": "CERTFR-2021-ALE-015",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-07-13T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-10-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 9 juillet 2021, SolarWinds a publi\u00e9 un correctif pour la\nvuln\u00e9rabilit\u00e9 CVE-2021-35211 affectant les composants *Managed File\nTransfer* et *Secure FTP* des produits Serv-U avec une version\nant\u00e9rieure \u00e0 15.2.3 HF2.\n\nCette vuln\u00e9rabilit\u00e9 de type \"jour z\u00e9ro\" (*zero day*) a \u00e9t\u00e9 d\u00e9couverte\npar Microsoft et permet \u00e0 un attaquant de pouvoir ex\u00e9cuter du code\narbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s. Microsoft d\u00e9clare\navoir d\u00e9tect\u00e9 des exploitations cibl\u00e9es de cette vuln\u00e9rabilit\u00e9.\n\nCependant, dans le cas o\u00f9 le SSH n\u0027est pas activ\u00e9 sur votre produit\nSolarWinds Serv-U la vuln\u00e9rabilit\u00e9 ne peut pas \u00eatre exploit\u00e9e.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans SolarWinds Serv-U",
  "vendor_advisories": [
    {
      "published_at": "2021-07-09",
      "title": "Bulletin de s\u00e9curit\u00e9 SolarWinds CVE-2021-35211",
      "url": "https://www.solarwinds.com/trust-center/security-advisories/CVE-2021-35211"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.