SolarWinds修补了可能允许完全系统控制的漏洞

2021-02-06 21:07:32

SolarWinds是一家鲜为人知的公司,其网络监控工具Orion是美国历史上最严重漏洞之一的主要载体,该公司已推出了针对三个严重漏洞的修复程序。

Trustwave SpiderLabs的研究员Martin Rakhmanov在周三的博客中表示,在FireEye和Microsoft报告黑客控制了SolarWinds的软件开发系统并将其用于向Orion客户分发后门更新后不久,他就开始分析SolarWinds产品。他很快就发现了三个漏洞,其中两个在Orion中,另一个在产品Serv-U FTP for Windows中被发现。没有证据表明在野外已经利用了任何漏洞。最严重的缺陷使没有特权的用户可以远程执行完全控制底层操作系统的代码。该漏洞被追踪为CVE-2021-25274,源于Orion使用Microsoft Message Queue,该工具已经存在20多年了,但默认情况下不再安装在Windows计算机上。

当Rakhmanov拨通Windows计算机管理控制台时,他迅速抓住了启用的数十个专用队列之一的以下安全权限:

研究人员写道:“很难忘记警告队列表明该队列与所有队列一样未经认证,”。 “简而言之,未经身份验证的用户可以通过TCP端口1801将消息发送到此类队列。激起了我的兴趣,我跳了起来看看处理传入消息的代码。不幸的是,事实证明这是不安全的反序列化的受害者。”

SolarWinds Collector Service使用MSMQ(Microsoft消息队列),并且不对其专用队列设置权限。因此,未经身份验证的远程客户端可以发送收集器服务将处理的消息。此外,在处理此类消息时,服务会以不安全的方式反序列化它们,从而允许将远程任意代码执行为LocalSystem。

第二个Orion漏洞(跟踪为CVE-2021-25275)是Orion以不安全的方式存储数据库凭据的结果。具体来说,Orion会将凭据保存在非特权用户可以读取的文件中。 Rakhmanov戏t地称其为“所有人的数据库凭据”。

当文件通过密码保护密码时,研究人员能够找到将密码转换为纯文本的代码。结果:任何可以本地登录或通过远程桌面协议登录到框的人都可以获取SolarWindsOrionDatabaseUser的凭据。

“下一步是使用恢复的帐户连接到Microsoft SQL Server,此时,我们已经完全控制了SOLARWINDS_ORION数据库,” Rakhmanov写道。 “从这里,人们可以窃取信息或添加新的管理员级别用户,以在SolarWinds Orion产品中使用。”

第三个漏洞跟踪为CVE-2021-25276,位于Windows的Serv-U FTP中。该程序将每个帐户的详细信息存储在单独的文件中。这些文件可以由任何经过身份验证的Windows用户创建。

具体来说,任何可以本地登录或通过远程桌面登录的人都可以删除定义新用户的文件,并且Serv-U FTP会自动选择该文件。接下来,由于我们可以创建任何Serv-U FTP用户,因此可以通过在文件中设置一个简单字段,然后将主目录设置为C:\驱动器的根目录来定义管理员帐户。现在我们可以通过FTP登录并读取或替换C:\上的任何文件,因为FTP服务器作为LocalSystem运行。

Orion和Serv-U FTP的修复程序可在此处和此处获得。依赖于这两种产品之一的人应尽快安装补丁。