【安全通报】SolarWinds Serv-U 远程代码执行漏洞（CVE-2021-35211）

近日，SolarWinds发布安全公告，Microsoft 在其Serv-U Managed File Transfer Server 和 Serv-U Secured FTP发现了一个安全漏洞（CVE-2021-35211），成功利用此漏洞的攻击者可以使用特权运行任意代码。该漏洞目前已发现在野利用。

漏洞描述

SolarWinds 是一家美国软件开发公司，业务为帮助企业管理网络、系统和信息技术基础设施。

CVE-2021-35211

成功利用该漏洞会导致Serv-U产品抛出异常，然后用攻击者的代码覆盖异常处理程序，导致远程代码执行，包括安装恶意程序以及查看、更改、或删除敏感数据。（如果环境中未启用SSH，则该漏洞不存在）

CVE 编号

CVE-2021-35211

FOFA 查询

app="SolarWinds-Serv-U-FTP"

影响范围

SolarWinds Serv-U Managed File Transfer 和 Serv-U Secure FTP 所有版本
安全版本：15.2.3 HF2

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="SolarWinds-Serv-U-FTP"）共有 135,659 个相关服务对外开放。中国使用数量最多，共有 59,449 个；美国第二，共有 43,345 个；澳大利亚第三，共有 7,126 个；中国香港第四，共有 5,726 个；俄罗斯第五，共有 1,888 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东使用数量最多，共有 7,182 个；福建第二，共有 3,072 个；北京第三，共有 3,051 个；上海第四，共有 2,936 个；江苏第五，共有 2,536 个。

修复建议

SolarWinds 已于 2021 年 7 月 9 日星期五发布了修补程序：https://customerportal.solarwinds.com/

临时修复建议：在管理控制台中禁用SSH监听器。

威胁排查：

1. 查看是否启用了ssh，如果环境中未启用SSH，则该漏洞不存在。

2. 由于漏洞位于异常处理程序中，因此可在 DebugSocketLog.txt 文件查找相关异常（注：其它原因也可能引发相关异常）。

3. 排查 SSH 可疑连接。（已知的威胁IP：98.176.196.89、68.235.178.32、208.113.35.58）

参考

[1] https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

[2] https://www.rapid7.com/blog/post/2021/07/12/solarwinds-serv-u-ftp-and-managed-file-transfer-cve-2021-35211-what-you-need-to-know/

[3] https://mp.weixin.qq.com/s/E2j3bkRAiUOXeT4eyNKNIg

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。