微软已经分享了一个现已修复的、被积极利用的、影响SolarWinds Serv-U管理文件传输服务的关键安全漏洞的技术细节,它已将该漏洞 "高度可信 "地归因于一个在“中国”运作的威胁行为者。
7月中旬,这家总部位于德克萨斯州的公司修复了一个远程代码执行漏洞(CVE-2021-35211),该漏洞源于Serv-U的Secure Shell(SSH)协议,攻击者可以利用该漏洞在受感染的系统上运行任意代码,包括安装恶意程序和查看、更改或删除敏感数据的能力。
“Serv-U SSH服务器存在一个预授权远程代码执行漏洞,可以在默认配置中轻松可靠地利用该漏洞。”微软攻防研究和安全工程团队在描述该漏洞的详细文章中说。
“攻击者可以通过连接到开放的SSH端口并发送一个畸形的pre-auth连接请求来利用这个漏洞。当成功利用时,该漏洞可以让攻击者安装或运行程序,例如在我们之前报告的目标攻击的情况下。”研究人员补充道。
虽然微软将这些攻击与DEV-0322联系起来,但DEV-0322与中国有什么关系微软并没有真凭实据。
该公司现在透露,远程预授权漏洞源于Serv-U进程处理访问违规行为而不终止进程的方式,从而使它很容易完成隐蔽、可靠的利用尝试。
“被利用的漏洞是由Serv-U最初创建OpenSSL AES128-CTR上下文的方式引起的。”研究人员说:“这反过来可能允许在解密连续SSH消息期间使用未初始化的数据作为函数指针。”
”因此,攻击者可以通过连接到开放的SSH端口并发送一个畸形的预认证连接请求来利用这个漏洞。“研究人员补充说:“我们还发现,攻击者很可能使用Serv-U进程加载的没有地址空间布局随机化(ASLR)的DLLs进行编译,以方便利用。”
ASLR是一种保护机制,它通过随机排列系统可执行文件加载到内存的地址空间位置来增加执行缓冲区溢出攻击的难度。
微软向SolarWinds披露了这一攻击,并表示它建议对Serv-U进程中加载的所有二进制文件启用ASLR兼容性。研究人员说:“ASLR是暴露在不受信任的远程输入下的服务的重要安全缓解措施,它要求进程中的所有二进制文件都是兼容的,以便有效地防止攻击者在他们的攻击中使用硬编码的地址,这在Serv-U中是可能的。”