Kriittinen haavoittuvuus SolarWinds Serv-U tuotteessa

Solarwinds julkaisi haavoittuvuustiedotteen 9.7.2021 liittyen Microsoftin tutkijoiden löytämään haavoittuvuuteen Serv-U Managed File Transfer ja Serv-U Secure FTP -tuotteissa. Haavoittuvuutta (CVE-2021-35211) hyväksikäyttämällä hyökkääjän on mahdollista suorittaa etänä omaa ohjelmakoodiaan palvelimella korotetuin käyttöoikeuksin (Remote Code Execution). Microsoftin mukaan haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti rikollisten toimesta.

Havaintojemme mukaan mahdollisesti haavoittuvia Serv-U versiota on käytössä Suomessa jonkin verran ja kehotamme järjestelmien ylläpitäjiä päivittämään haavoittuvat ohjelmistot ensi tilassa. Haavoittuvia ohjelmistoja kartoitetaan tietojemme mukaan myös hyvin aktiivisesti rikollisten toimesta.

Haavoittuvuus koskee kaikkia Serv-U versiota v15.2.3 HF2 aiempia julkaisuja ja ne ovat kaikki alttiita hyökkäykselle. SSH-palvelun poisto käytöstä estää haavoittuvuuden hyväksikäytön molemmissa haavoittuvissa ohjelmistoissa.

Haavoittuvuutta koskevaa Serv-U teknologiaa ei käytetä missään muissa SolarWindsin valmistamissa tuotteissa ja se koskee siten ainoastaan Serv-U Managed File Transfer ja Serv-U Secure FTP -ohjelmistoja.

Haavoittuvuuden kohde

Serv-U 15.2.3 HF1 ja kaikki sitä aiemmat Serv-U versiot

Mistä on kysymys?

Päivitä haavoittuva ohjelmisto versioon Serv-U 15.2.3 HF2.

SSH-palvelun poisto käytöstä estää myös haavoittuvuuden hyväksikäytön.

Mitä voin tehdä?

Valmistaja on julkaissut ohjeita mahdollisen hyväksikäytön tunnistamiseksi sekä ympäristön päivittämiseen turvalliseen ohjelmistoversioon.

Valmistajan haavoittuvuustiedote: Serv-U Remote Memory Escape Vulnerability (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.