SolarWinds，这家以前鲜为人知的公司，其网络监控工具Orion是美国历史上最严重的一次入侵的主要工具，已经推出了对三个严重漏洞的修复。

Trustwave SpiderLabs的研究员马丁·拉赫马诺夫(Martin Rakhmanov)周三在一篇博客文章中表示，在FireEye和微软报告称黑客控制了SolarWinds的软件开发系统，并利用它向Orion客户发布后门更新后不久，他就开始分析SolarWinds的产品。没过多久，他就发现了三个漏洞，其中两个在猎户座上，第三个在Windows上被称为server - u FTP的产品上。没有证据表明这些漏洞被人利用了。

最严重的缺陷是允许非特权用户远程执行完全控制底层操作系统的代码。被追踪为CVE-2021-25274的漏洞源自Orion对微软消息队列的使用，这是一个存在了20多年的工具，但不再默认安装在Windows机器上。

很难错过

当拉赫马诺夫拨开Windows计算机管理控制台时，沐鸣开户测速他迅速抓住了它启用的数十个私有队列中的一个的安全权限:

网络爬行SpiderLabs

研究人员写道:“很难忽略这个警告屏，它表明队列，就像所有的队列一样，是未经验证的。”简而言之，未经身份验证的用户可以通过TCP端口1801向此类队列发送消息。这激起了我的兴趣，我开始研究处理传入消息的代码。不幸的是，它变成了一个不安全的反序列化受害者。”

Trustwave SpiderLabs在另一份报告中这样描述了这个缺陷:

SolarWinds收集器服务使用MSMQ(微软消息队列)，它不设置其私有队列的权限。因此，未经身份验证的远程客户机可以发送收集器服务将处理的消息。此外，在处理这类消息时，服务以不安全的方式反序列化它们，允许以LocalSystem的方式远程执行任意代码。

每个人的数据库凭据

第二个Orion漏洞，追踪为CVE-2021-25275，是Orion以不安全的方式存储数据库凭证的结果。具体来说，沐鸣开户测速Orion将凭证保存在一个非特权用户可读的文件中。Rakhmanov开玩笑地称之为“每个人的数据库凭证”。

虽然这些文件加密保护密码，但研究人员能够找到将密码转换为明文的代码。其结果是:任何人都可以通过本地或远程桌面协议登录到一个盒子，可以获得SolarWindsOrionDatabaseUser的凭据。

“下一步是使用恢复的帐户连接到Microsoft SQL Server，在这一点上，我们已经完全控制SOLARWINDS_ORION数据库，”拉赫马诺夫写道。“从这里，用户可以窃取信息或添加一个新的管理员级别用户，以便在SolarWinds Orion产品中使用。”

创建您自己的管理员帐户

第三个漏洞被追踪为CVE-2021-25276，存在于Windows server - u FTP中。程序将每个帐户的详细信息存储在一个单独的文件中。任何经过身份验证的Windows用户都可以创建这些文件。

Rakhmanov写道:

具体来说，任何可以本地登录或通过远程桌面登录的人都可以删除一个定义新用户的文件，而service - u FTP将自动获取该文件。接下来，因为我们可以创建任何service - u FTP用户，所以通过在文件中设置一个简单的字段来定义一个管理帐户，然后将主目录设置为C:\ drive的根目录是有意义的。现在我们可以通过FTP登录并读取或替换C:\上的任何文件，因为FTP服务器运行的是LocalSystem。

修复Orion和service - u FTP可以在这里和这里。依赖这两种产品的用户应该尽快安装补丁。