【安全通告】SolarWinds产品多个漏洞风险通告(CVE-2021-25274,CVE-2021-25275,CVE-2021-25276)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,SolarWinds旗下产品被披露出多个漏洞,漏洞编号CVE-2021-25274,CVE-2021-25275,CVE-2021-25276,可导致远程代码执行或者访问修改敏感数据等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
SolarWinds Orion平台是一套基础架构以及系统监视和管理产品。
CVE-2021-25274:
2020.2.4之前发布的SolarWinds Orion平台中,收集器服务使用MSMQ(Microsoft消息队列),并且未在其专用队列上设置权限。 导致未经身份验证的远程客户端可以将消息发送到收集器服务1801端口。并且在处理此类消息时,服务会以不安全的方式反序列化它们,从而允许将远程任意代码作为LocalSystem执行。
CVE-2021-25275:
SolarWinds各类产品所使用的在2020.2.4之前发布的SolarWinds Orion平台,会安装和使用SQL Server后端,并将数据库凭据存储在访问该后端的文件中,这些文件可以由非特权用户读取。导致任何有权访问文件系统的用户都可以从该文件读取数据库登录详细信息,包括登录名及其关联的密码。攻击者可以使用此凭据以database owner身份访问SWNetPerfMon.DB数据库。借此可以访问SolarWinds应用程序收集的数据,并通过插入或更改存储在数据库Accounts表中的身份验证数据最终导致可通过admin身份访问数据库。
CVE-2021-25276:
在15.2.2Hotfix1之前的SolarWinds Serv-U中,存在一个目录,其中包含全局用户可读和可写的用户配置文件(包括用户的密码哈希)。非特权Windows用户(可以访问服务器的文件系统)可以通过将有效的配置文件复制到此目录来添加FTP用户。借此攻击者将获得访问权限,以使用LocalSystem特权读取或替换任意文件。
风险等级
高
漏洞风险
攻击者可利用该漏洞远程执行任意代码,或者访问修改敏感数据等危害
影响版本
SolarWinds Orion 2020.2.4之前版本
SolarWinds Serv-U 15.2.2 Hotfix1之前版本
安全版本
SolarWinds Orion 2020.2.4
SolarWinds Serv-U 15.2.2 Hotfix1
修复建议
更新到SolarWinds相关产品的安全版本或更新版:
官方链接:
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://nvd.nist.gov/vuln/detail/CVE-2021-25274
https://nvd.nist.gov/vuln/detail/CVE-2021-25275
https://nvd.nist.gov/vuln/detail/CVE-2021-25276
