Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus SolarWinds Serv-U tuotteessa

Haavoittuvuus20/2021CVSS 8.1

Solarwinds julkaisi haavoittuvuustiedotteen 9.7.2021 liittyen Microsoftin tutkijoiden löytämään haavoittuvuuteen Serv-U Managed File Transfer ja Serv-U Secure FTP -tuotteissa. Haavoittuvuutta (CVE-2021-35211) hyväksikäyttämällä hyökkääjän on mahdollista suorittaa etänä omaa ohjelmakoodiaan palvelimella korotetuin käyttöoikeuksin (Remote Code Execution). Microsoftin mukaan haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti rikollisten toimesta.

Havaintojemme mukaan mahdollisesti haavoittuvia Serv-U versiota on käytössä Suomessa jonkin verran ja kehotamme järjestelmien ylläpitäjiä päivittämään haavoittuvat ohjelmistot ensi tilassa. Haavoittuvia ohjelmistoja kartoitetaan tietojemme mukaan myös hyvin aktiivisesti rikollisten toimesta.

Haavoittuvuus koskee kaikkia Serv-U versiota v15.2.3 HF2 aiempia julkaisuja ja ne ovat kaikki alttiita hyökkäykselle. SSH-palvelun poisto käytöstä estää haavoittuvuuden hyväksikäytön molemmissa haavoittuvissa ohjelmistoissa.

Haavoittuvuutta koskevaa Serv-U teknologiaa ei käytetä missään muissa SolarWindsin valmistamissa tuotteissa ja se koskee siten ainoastaan Serv-U Managed File Transfer ja Serv-U Secure FTP -ohjelmistoja.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Serv-U 15.2.3 HF1 ja kaikki sitä aiemmat Serv-U versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva ohjelmisto versioon Serv-U 15.2.3 HF2.

SSH-palvelun poisto käytöstä estää myös haavoittuvuuden hyväksikäytön.

Lisätietoja

Valmistaja on julkaissut ohjeita mahdollisen hyväksikäytön tunnistamiseksi sekä ympäristön päivittämiseen turvalliseen ohjelmistoversioon.