网络安全研究人员周三,再次披露SolarWinds产品三个严重的安全漏洞,其中最严重的漏洞可能已被利用来实现具有更高特权的远程代码执行。
网络安全公司Trustwave的技术分析在SolarWinds Orion平台中发现了两个漏洞(CVE-2021-25274和CVE-2021-25275),而在公司的Windows Serv-U FTP服务器中发现了第三个单独的缺陷(CVE-2021-25276)。还好,去年12月曝光的针对Orion平台的史无前例的供应链攻击没有利用这三个安全漏洞。Orion和Serv-U FTP中的两套漏洞分别于2020年12月30日和2021年1月4日向SolarWinds披露,之后公司于1月22日和1月25日解决了这些安全漏洞。Trustwave表示,计划于2月9日下周发布概念验证(PoC)代码。用户可以在此之前安装最新版本的Orion Platform和Serv-U FTP(15.2.2修补程序1),以减轻与该缺陷相关的风险。Trustwave发现的漏洞中的主要漏洞包括对Microsoft消息队列(MSMQ)的不当使用,被SolarWinds Orion Collector服务大量使用,从而允许未经身份验证的用户通过TCP端口1801将消息发送到此类队列,并最终通过链接将其获得RCE在处理传入消息的代码中还有另一个不安全的反序列化问题。SolarWinds(Orion Platform 2020.2.4)发布的补丁通过对到达的消息执行数字签名验证步骤来解决该错误,以确保未签名的消息不会得到进一步处理,但是Rakhmanov警告说,MSMQ仍未经身份验证,并允许任何人发送讯息。
在Orion平台中也发现的第二个漏洞,后端数据库的凭据(名为“ SOLARWINDS_ORION”)存储在配置文件中,导致本地的非特权用户完全控制数据库,从而窃取了信息。甚至添加要在SolarWinds Orion产品中使用的新管理员级别用户。最后,用于Windows的SolarWinds Serv-U FTP服务器15.2.1的缺陷可能使任何可以本地登录或通过远程桌面登录系统的攻击者都可以删除一个文件,该文件定义了对C:\具有完全访问权限的新管理员用户驱动器,然后可以通过该用户通过FTP登录并读取或替换驱动器上的任何文件来利用该驱动器。供应链攻击由来已久,最成功的的莫过于美以针对伊朗核电站成功实施的“震网”病毒攻击。从此次网络强国美国在SolarWinds供应链方面遭受到的供应链攻击以及以往发生的供应链攻击,再结合APT攻击给我们在网络安全防护领域带来了警示,网络安全防护是一个隐蔽性的战线,而且没有完成时,一直都在路上。因此强调了组织必须警惕依赖第三方工具来管理其平台和服务而引起的潜在危险。我们一起为我国的网络安全事业共同努力,我们将不遗余力地通过各种渠道和方式,提升广大群众的网络安全意识,只有人人都具备网络安全防范意识,做到网络安全靠人民,才能让网络平稳运行服务我们的生产生活,做到网络安全为人民。我们有专业的网络安全等级保护工作如何开展知识。
