SolarWinds软件中发现3个新的严重安全漏洞

网络安全研究人员周三披露了影响SolarWinds产品的三个严重安全漏洞，其中最严重的漏洞可能被利用，以提升权限实现远程代码执行。

网络安全公司Trustwave在一项技术分析中表示，在SolarWinds Orion平台上发现了其中两个缺陷（CVE-2021-25274和CVE-2021-25275），而在该公司的Windows Serv-U FTP服务器上发现了第三个单独的缺陷（CVE-2021-25276）。

据信，这三个漏洞都没有在任何“野外”攻击中被利用，也没有在去年12月曝光的针对猎户座平台的史无前例的供应链攻击中被利用。

Orion和Serv-U FTP的两组漏洞分别于2020年12月30日和2021年1月4日分别披露给Salar Wrand，随后该公司在1月22日和1月25日解决了这些问题。

It's highly recommended that users install the latest versions of Orion Platform and Serv-U FTP (15.2.2 Hotfix 1) to mitigate the risks associated with the flaws. Trustwave said it intends to release a proof-of-concept (PoC) code next week on February 9.

完全控制猎户座

Trustwave发现的主要漏洞包括不当使用Microsoft Messaging Queue（MSMQ），SolarWinds Orion Collector服务大量使用MSMQ，从而允许未经身份验证的用户通过TCP端口1801向此类队列发送消息，并通过将其与处理传入消息的代码中的另一个不安全反序列化问题链接，最终实现RCE。

信托研究人员马丁·拉赫曼诺夫说：“鉴于消息处理代码作为配置为使用LocalSystem帐户的Windows服务运行，我们完全可以控制底层操作系统。”。

SolarWinds（Orion Platform 2020.2.4）发布的补丁通过对到达的消息执行数字签名验证步骤来解决该漏洞，以确保未签名的消息不会被进一步处理，但Rakhmanov警告说，MSMQ仍然未经验证，允许任何人向其发送消息。

第二个漏洞也存在于Orion平台中，涉及后端数据库（名为“SOLARWINDS_Orion”）的凭据存储在配置文件中的不安全方式，导致本地无特权用户完全控制数据库、窃取信息、，甚至可以添加一个新的管理员级别的用户，用于SolarWinds Orion产品。

最后，SolarWinds Serv-U FTP Server 15.2.1 for Windows中的一个漏洞可能会允许任何可以在本地或通过远程桌面登录系统的攻击者删除一个文件，该文件定义了一个新的管理员用户，该用户可以完全访问C:\驱动器，然后可以通过FTP以该用户的身份登录，读取或替换驱动器上的任何文件。

美国农业部利用新的太阳风缺陷瞄准目标

在SolarWinds产品出现三个漏洞的消息发布之前，有报道称，中国威胁行为人利用该公司软件中一个以前未经记录的漏洞，闯入美国农业部下属的联邦工资机构国家金融中心。

据路透社报道，这一漏洞据说不同于那些被怀疑是俄罗斯威胁特工滥用以破坏SolarWinds Orion软件的漏洞，该软件随后被分发给多达18000名客户。

去年12月底，微软表示，第二个黑客集体可能正在滥用IT基础设施提供商的Orion软件，利用Orion API中的绕过身份验证漏洞执行任意命令，在目标系统上投放一个名为Supernova的持久后门。

SolarWinds issued a patch to address the vulnerability on December 26, 2020.

上周，美国网络安全和基础设施局（CISA）代理局长布兰登·威尔斯（Brandon Wales）表示，与入侵活动有关的近30%的私营部门和政府机构与太阳林没有直接联系，这意味着攻击者使用了各种方式来破坏目标环境。

尽管这两项间谍活动有重叠之处，但这些活动是另一个迹象，表明高级持续威胁（APT）组织正越来越关注软件供应链，将其作为打击公司和政府机构等高价值目标的渠道。

SolarWinds或Microsoft等软件的信任度和普遍性使它们成为攻击者有利可图的目标，从而突显出企业需要警惕依赖第三方工具管理其平台和服务所产生的潜在危险。