Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - ALE - 015

AVIS CERTFR - 2021 - ALE - 015

Objet : Vulnérabilité dans SolarWinds Serv-U

Référence : CERTFR-2021-ALE-015

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- SolarWinds Serv-U versions antérieures à 15.2.3 HF2

Résumé

Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2.

Cette vulnérabilité de type "jour zéro" (zero day) a été découverte par Microsoft et permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec des privilèges élevés. Microsoft déclare avoir détecté des exploitations ciblées de cette vulnérabilité.

Cependant, dans le cas où le SSH n'est pas activé sur votre produit SolarWinds Serv-U la vulnérabilité ne peut pas être exploitée.

Solution

Le CERT-FR recommande très fortement d'appliquer le correctif sans délai, voici la procédure à appliquer en fonction de la version de votre produit :

- Si vous disposez d'un produit en version 15.2.3 HF1, veuillez appliquer le correctif 15.2.3 HF2 disponible sur le portail client de l'éditeur ;
- Si vous disposez d'un produit en version 15.2.3, veuillez appliquer dans un premier temps le correctif 15.2.3 HF1, puis appliquer le correctif 15.2.3 HF2 ;
- Si vous disposez d'un produit en version antérieure à 15.2.3, il vous faudra dans un premier temps monter votre produit en version 15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis 15.2.3 HF2.

Informations d'aide à la détection de l'exploitation de cette vulnérabilité

En parallèle, le CERT-FR recommande de faire un contrôle du fichier de journalisation DebugSocketlog.txt. En effet, la vulnérabilité étant de type "Return Oriented Programming attack", son exécution va lever l'exception suivante qui sera dans ce fichier :

Xxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5

Exception levée lors de l'exploitation de la CVE-2021-352111

L'éditeur indique cependant que la présence de cette exception n'implique par forcément qu'une exploitation de cette vulnérabilité a été réalisée.

La vérification des connections SSH et TCP est aussi très fortement recommandée. D'après l'éditeur, les connections SSH provenant des IPs suivantes seraient à considérer comme indicateur de compromission : 98.176.196.89, 68.235.178.32. Il en est de même pour les connexions TCP sur le port 443 de l'IP : 208.113.35.58.

Documentation

- Bulletin de sécurité SolarWinds CVE-2021-35211 du 09 juillet 2021
https://www.solarwinds.com/trust-center/security-advisories/CVE-2021-35211  
- Référence CVE CVE-2021-35211
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35211  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-XXX/  

 

 

AVIS CERTFR - 2021 - AVI - 583

29 juillet 2021
actualite

Objet : Vulnérabilité dans IBM Db2Référence : CERTFR-2021-AVI-583Risque(s)- Exécution de code arbitraireSystèmes affectés - IBM Db2 versions 9.7 an... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 582

29 juillet 2021
actualite

Objet : Multiples vulnérabilités dans les produits Trend Micro Référence : CERTFR-2021-AVI-582Risque(s) - Contournement de la politique de sécurité... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-ALE-015