{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"SolarWinds Serv-U versions ant\u00e9rieures \u00e0 15.2.3 HF2","product":{"name":"Serv-U","vendor":{"name":"SolarWinds","scada":false}}}],"affected_systems_content":"","closed_at":"2021-10-19","content":"## Solution\n\n**Le CERT-FR recommande tr\u00e8s fortement d'appliquer le correctif sans\nd\u00e9lai,** voici la proc\u00e9dure \u00e0 appliquer en fonction de la version de\nvotre produit :\n\n-   Si vous disposez d'un produit en version 15.2.3 HF1, veuillez\n    appliquer le correctif 15.2.3 HF2 disponible sur le portail client\n    de l'\u00e9diteur ;\n-   Si vous disposez d'un produit en version 15.2.3, veuillez appliquer\n    dans un premier temps le correctif 15.2.3 HF1, puis appliquer le\n    correctif 15.2.3 HF2 ;\n-   Si vous disposez d'un produit en version ant\u00e9rieure \u00e0 15.2.3, il\n    vous faudra dans un premier temps monter votre produit en version\n    15.2.3 pour ensuite pouvoir appliquer les correctifs 15.2.3 HF1 puis\n    15.2.3 HF2.\n\n\u00a0\n\n### Informations d'aide \u00e0 la d\u00e9tection de l'exploitation de cette vuln\u00e9rabilit\u00e9\n\nEn parall\u00e8le, le CERT-FR recommande de faire un contr\u00f4le du fichier de\njournalisation *DebugSocketlog.txt*. En effet, la vuln\u00e9rabilit\u00e9 \u00e9tant de\ntype \"*Return Oriented Programming attack*\", son ex\u00e9cution va lever\nl'exception suivante qui sera dans ce fichier :\n\n```bash\nXxx xxxxxxx xx:xx:xx - EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5\n```\n*Exception lev\u00e9e lors de l'exploitation de la CVE-2021-35211*\n\nL'\u00e9diteur indique cependant que la pr\u00e9sence de cette exception\nn'implique par forc\u00e9ment qu'une exploitation de cette vuln\u00e9rabilit\u00e9 a\n\u00e9t\u00e9 r\u00e9alis\u00e9e.\n\nLa v\u00e9rification des connections SSH et TCP est aussi tr\u00e8s fortement\nrecommand\u00e9e. D'apr\u00e8s l'\u00e9diteur, les connections SSH provenant des IPs\nsuivantes seraient \u00e0 consid\u00e9rer comme indicateur de compromission :\n98.176.196.89, 68.235.178.32. Il en est de m\u00eame pour les connexions TCP\nsur le port 443 de l'IP : 208.113.35.58.\n\n\u00a0\n\n\u00a0\n","cves":[{"name":"CVE-2021-35211","url":"https://www.cve.org/CVERecord?id=CVE-2021-35211"}],"links":[],"reference":"CERTFR-2021-ALE-015","revisions":[{"description":"Version initiale","revision_date":"2021-07-13T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-10-19T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 9 juillet 2021, SolarWinds a publi\u00e9 un correctif pour la\nvuln\u00e9rabilit\u00e9 CVE-2021-35211 affectant les composants *Managed File\nTransfer* et *Secure FTP* des produits Serv-U avec une version\nant\u00e9rieure \u00e0 15.2.3 HF2.\n\nCette vuln\u00e9rabilit\u00e9 de type \"jour z\u00e9ro\" (*zero day*) a \u00e9t\u00e9 d\u00e9couverte\npar Microsoft et permet \u00e0 un attaquant de pouvoir ex\u00e9cuter du code\narbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s. Microsoft d\u00e9clare\navoir d\u00e9tect\u00e9 des exploitations cibl\u00e9es de cette vuln\u00e9rabilit\u00e9.\n\nCependant, dans le cas o\u00f9 le SSH n'est pas activ\u00e9 sur votre produit\nSolarWinds Serv-U la vuln\u00e9rabilit\u00e9 ne peut pas \u00eatre exploit\u00e9e.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans SolarWinds Serv-U","vendor_advisories":[{"published_at":"2021-07-09","title":"Bulletin de s\u00e9curit\u00e9 SolarWinds CVE-2021-35211","url":"https://www.solarwinds.com/trust-center/security-advisories/CVE-2021-35211"}]}