Microsoft a signalé début juillet à SolarWinds avoir découvert une vulnérabilité d’exécution de code à distance (RCE) dans ses logiciels Serv-U. Cette faille permettait d’obtenir un accès privilégié sur le serveur les hébergeant. Un rapport avec la récente cyberattaque sur son Sunburst ?
Après enquête, SolarWinds confirme le 10 juillet 2021 que « cet exploit RCE affecte toutes les versions de Serv-U, mais avant la version 15.2.3 HF2, qui a été construite pour corriger cette vulnérabilité, et pour aider à protéger votre environnement. Seuls SolarWinds Serv-U Managed File Transfer et Serv-U Secure FTP sont affectés par cette vulnérabilité ». Elle ne concerne donc pas d’autres produits SolarWinds ou N-able (anciennement SolarWinds MSP). Serv-U Managed File Transfer Server est une solution de sécurité, d’automatisation et de contrôle des transferts de fichiers.
Une faille pour exécuter du code arbitraire avec des privilèges
La vulnérabilité existe dans la dernière version Serv-U 15.2.3 HF1 publiée le 5 mai 2021, ainsi que dans toutes les versions antérieures. Un acteur menaçant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec des privilèges. Un attaquant pourrait alors installer des programmes ; visualiser, modifier ou supprimer des données ; ou exécuter des programmes sur le système affecté.
Un impact limité et ciblé sur les clients
Microsoft lui a fourni des preuves d’un impact limité et ciblé sur les clients, bien que SolarWinds déclare ne pas disposer actuellement d’une estimation du nombre de clients pouvant être directement affectés par la vulnérabilité. SolarWinds n’a pas non plus connaissance de l’identité des clients potentiellement affectés. Si vous êtes un client en maintenance active du produit Serv-U, SolarWinds vous invite à vous connecter à son portail client pour accéder aux mises à jour.
Un rapport avec la cyberattaque sur son Sunburst ?
Dans le même temps, la direction de cette société américaine de cyber sécurité indique que cette vulnérabilité n’est pas liée à la précédente cyberattaque subie fin 2020 : « cette nouvelle vulnérabilité n’est absolument pas liée à l’attaque de la chaîne d’approvisionnement de SUNBURST ». Des détails supplémentaires sur cette vulnérabilité seront publiés après avoir donné aux clients suffisamment de temps pour effectuer les mises à jour nécessaires à la protection de leurs environnements.