SolarWinds brengt patch uit voor actief aangevallen lek in Serv-U-software

SolarWinds heeft een update uitgebracht voor een zeroday in de Serv-U-software. Via de actief aangevallen kwetsbaarheid was het mogelijk een remote code execution uit te voeren in de bestandsuitwisselingssoftware.

Het bedrijf schrijft in een updateadvies dat het een patch heeft doorgevoerd in de meest recente versie van Serv-U. Volgens SolarWinds zat er een kwetsbaarheid in versie 15.2.3 HF1 uit mei van dit jaar, en alle andere versies. Het bedrijf geeft geen details over de kwetsbaarheid. De bug staat bekend als CVE-2021-35211, maar daarover staat ook in de National Vulnerability Database van Mitre geen details. SolarWinds wil wachten tot klanten 'genoeg tijd hebben gehad om te upgraden'. In de tussentijd roept het bedrijf klanten op de patch te installeren via het klantenportaal.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoekers van Microsoft. Volgens de ontdekkers werden systemen van 'een gerichte groep klanten' aangevallen door één aanvaller. Over de aard van die aanval is niets bekend. Het lek zit alleen in de Serv-U Managed File Transfer Server en Serv-U Secured FTP, maar niet in zijn MSP-software of in enterprisepakketten zoals Orion.

Die laatste software is waar het bedrijf eind vorig jaar mee in de problemen kwam. Toen drongen aanvallers binnen bij het bedrijf en verstuurden ze spionagemalware via een geïnfecteerde update. Het is niet bekend of de huidige aanvallen verband houden met die uit december.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-07-2021 13:48 32

13-07-2021 • 13:48

32

Lees meer

Ransomware in Kaseya-systemen

6 jul 2021

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

79
Amerikaans cybersecurityagentschap redt CVE-programma met financiering
Amerikaans cybersecurityagentschap redt CVE-programma met financiering Nieuws van 16 april 2025
'SolarWinds-hack was ruim half jaar eerder bekend bij Amerikaans ministerie'
'SolarWinds-hack was ruim half jaar eerder bekend bij Amerikaans ministerie' Nieuws van 1 mei 2023
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd Nieuws van 10 mei 2021
VS legt sancties op aan Rusland wegens cyberaanvallen SolarWinds
VS legt sancties op aan Rusland wegens cyberaanvallen SolarWinds Nieuws van 16 april 2021
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten Nieuws van 19 februari 2021
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden Nieuws van 18 februari 2021
Meer producten en artikelen
Beveiliging en antivirus SolarWinds

Reacties (32)

-Moderatie-faq
32
32
10
0
0
21
Wijzig sortering
moppentappers 13 juli 2021 14:08
Wij gebruiken SolarWinds Dameware Remote Everywhere.. wat een troep is dat.
Helaas is er niet veel anders waar je ook wat rechten beheer mee kan doen zonder dat je voor elke PC die erin staat moet betalen, anders was ik allang naar iets anders gegaan. Als je een ticket aanmaakt krijg 3 dagen later antwoord en proberen ze te zorgen dat het je zoveel moeite kost/informatie te vragen die nergens op slaat dat je er al geen zin meer in hebt.
Anoniem: 316512 @moppentappers13 juli 2021 14:22
Is er dan ook een zeroday in Dameware gevonden?
telenut @Anoniem: 31651213 juli 2021 14:27
vroeg ik me ook af... kreeg toevallig vandaag mail dat er nieuwe versie van Dameware was. Maar niks in die mail over een actief misbruik van een lek.
En aangezien de nieuwe versie niet compatibel is met de vorige... is het overschakelen toch nog niet zo simpel.
moppentappers @telenut13 juli 2021 15:59
Waar kan je je aanmelden voor die mails? heb ik al een keer gevraagd aan support, maar nooit antwoord op gekregen.
thanx @moppentappers13 juli 2021 14:19
Ik ken Remote everywhere niet maar klinkt als een variant voor beheer van Remote over te nemen PC’s en daar zijn toch wel de nodige oplossingen voor? Anydesk, TeamViewer, waik, etc….
d5stick @thanx13 juli 2021 14:24
Bomgar is een vrij goede oplossing mocht je naar iets anders zoeken. :)
moppentappers @d5stick13 juli 2021 14:38
Anydesk en teamviwer hebben (of hadden?) geen mogelijkheid om groepen aan te maken en dan bepaalde personen rechten te geven. Bomgar kost 1500 euro per engineer, dat is me echt te gortig. Wayk kende ik niet, kan zo geen inschatting maken of dit nou een veel gebruikt product is.
Hiervoor hadden we screenconnect, maar de support voor een self hosted installatie werd op een gegeven moment zo slecht dat we ze dan belonen door naar de cloud versie te verhuizen..
aZuL2001 @moppentappers13 juli 2021 16:19
DWService.net ;)
Gratis.
thanx @moppentappers13 juli 2021 17:21
Wayk is ook niet zaligmakend maar het ecosysteem van devolutions is wel betaalbaar, schaalbaar en redelijk overzichtelijk. Zoveel mensen zoveel wensen en geen enkel pakket zal voor iedereen voldoen, maar mij bevalt dit wel.
Anoniem: 1322 @d5stick13 juli 2021 14:57
'Goed' is een mening... Ik zie er nog genoeg mis mee, al is het maar dat de agent soms meerdere keren naast elkaar moet installeren....

Ik zie het nut van al die tools niet zo in.. Voor intern beheer heb je remote assistance wat prima werkt zonder extra kosten.
d5stick @Anoniem: 132213 juli 2021 15:03
Wat bedoel je met naast elkaar installeren? Ik heb maar 1 agent draaien en daarmee kan ik vooruit.
Remote assistance is heel leuk maar met mensen via VPN en ook daar willen we geen RDP open hebben naar een corporate netwerk gebruiken we deze remote tooling.

Natuurlijk in iedere situatie moet gekeken worden wat het beste past en het kosten baten plaatje afwegen.
Anoniem: 1322 @d5stick13 juli 2021 15:13
Wat bedoel je met naast elkaar installeren?
Ik ben het enkel tegengekomen maar blijkbaar moet de cliënt meerdere keren geïnstalleerd worden als je de computer in meerdere groepen (of misschien Bomgar servers) wilt hangen. Dat is ten minste het antwoord dat ik kreeg toen ik 3 van die dingen op een server tegenkwam...

Remote assistance is heel leuk maar met mensen via VPN en ook daar willen we geen RDP open hebben naar een corporate netwerk gebruiken we deze remote tooling.
Misschien is QuickAssist dan iets voor je? Dat is ook ingebouwd in Windows 10 en werkt overal.
d5stick @Anoniem: 132213 juli 2021 15:57
Je kan Bomgar koppelen aan RDS of AD en hierdoor meerdere groepen koppelen aan 1 account.
I.p.v. dat je 3 accounts gaat gebruiken. Lijkt me zelfs een iets wat vreemde setup.

QuickAssist werkt ook op het RDP protocol over dezelfde poorten en is eigenlijk remote assistance in een nieuwere vorm. Een pluspunt is ook dat bomgar altijd werkt ook als de gebruiker geen VPN verbinding heeft. Een internet verbinding is voldoende.

[Reactie gewijzigd door d5stick op 23 juli 2024 02:54]

Anoniem: 1322 @d5stick13 juli 2021 16:20
Ik gebruik de Bomgar cliënt, geen idee hoe dit verder gekoppeld is of welk protocol gebruikt wordt.
Dat het een vreemde opzet is dat snap ik, dat vond ik ook en maakte daarom de opmerking. Maar daar kwam dus uit terug dat dit normaal was bij Bomgar... Mogelijk snappen ze het daar niet maar het was een vrij grote organisatie...

Quick Assist is trouwens geen nieuwe vorm van remote assistance, ze bestaan gewoon naast elkaar.
Verder heeft Quick Assist ook enkel een internet verbinding nodig, geen vpn vereisten. Het enige irritante is dat de support engineer een Microsoft account moet hebben (de persoon die hulp vraagt niet). Maar voor veiligheid is dat natuurlijk wel een goed idee.
Zwijntjesdrecht @moppentappers13 juli 2021 14:15
Het is bij SolarWinds al geruime tijd data. Ik ben blij dat wij daar weg zijn. Wij hadden die back-up oplossing van hun. Aangezien het nu alweer bijna 3 jaar geleden is en mijn geheugen in de steek laat, kan ik het exacte probleem niet meer opnoemen.

Echter kwam het erop neer dat er géén goede back-ups konden gemaakt worden van een MySQL 5.7 database. Was volgens hun te "nieuw". Ik weer niet, maar deze werd al uitgebracht medio 2015. Vervolgens bijna een jaar lang (!) tickets op en neer ingestuurd hierover en elke keer duurde het enkele dagen voordat je een reactie kreeg (meestal was een 2e of zelfs een 3e ticket nodig alvorens men überhaupt reageerde).

Toen zijn we naar een alternatief gaan kijken. Deze vonden wij en toen wij alles begonnen over te zetten (en SolarWinds dit merkte) toen werd er opeens vaart achter gezet inzake MySQL 5.7 ondersteuning. Uiteraard was dat toen al (veel) te laat voor ons. Vervolgens werden wij door onze toenmalige account manager gebeld en die bood zijn excuses aan voor alles en of wij niet wilde blijven tegen een fikse korting... Nee, bedankt! Gewoonweg een waardeloos bedrijf met een waardeloze bedrijfsvoering, waarbij klanten totaal niet serieus worden genomen. Eén keer, maar nooit meer. #lessonlearned
_JGC_ @Zwijntjesdrecht13 juli 2021 14:48
Toevallig IASO backup? Is van een bedrijfje in Emmeloord die ze hebben ingelijfd. Werkte op zich wel redelijk, maar ben net nadat Solarwinds het kocht redelijk snel vertrokken naar Acronis, waar de opslag maar 1/5 van IASO kostte.
MySQL backups met IASO was ik overigens ook niet heel kapot van, ze hadden daarvoor wel de juiste tool (Percona Xtrabackup) geimplementeerd, maar probleemloos was het niet.
telenut @moppentappers13 juli 2021 14:31
Het is wel één van de weinige met een betaalbare oplossing waarbij je de 'client' kan pushen...
Tegenwoordig gebruiken we nogal veel "quick assist" die standaard in Windows 10 zit. Maar soms moet pc's over kunnen nemen zonder interventie van de eindgebruiker ook...
Vroeger gebruikte ik ook wel nog eens pushvnc, maar voor Windows 10 bestaat die niet en moet je zelf scriptjes maken... Geen tijd voor :p
moppentappers @telenut13 juli 2021 14:40
Ja, alleen toch angst dat er een keer een lek in zit of iets in die geest, heel irritant.
himlims_ @moppentappers13 juli 2021 15:31
wat is er mis met vnc?
themadone @moppentappers13 juli 2021 16:13
Gotoassist betaal je in principe per technician.
djwice @moppentappers14 juli 2021 07:21
Je zou kunnen overwegen om een AWS Workspace gegeven aan de engineers die remote nodig hebben.

Naast Windows workspaces bestaan er ook Linux versies. Deze zijn via browsers, apps en desktop clients benaderbaar.

Uiteraard zijn er ook Jupiter Notebooks (afhankelijk van wat je nodig hebt kan dat super handig zijn) beschikbaar.

[Reactie gewijzigd door djwice op 23 juli 2024 02:54]

Cergorach
13 juli 2021 14:30
Gaat Tweakers.net alle vulnerabilities behandelen van Solarwinds, if so, you missed a few:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=solarwinds

Veel van deze artikelen doen de 'leek' vermoeden dat Solarwinds een pakket is, maar het gaat om verschillende software pakketten van maker Solarwinds. Dit is van het caliber "Wij gebruiken Microsoft!", wat mij dan altijd de vraag doet stellen "Wat exact van Microsoft?", aannames zijn noch altijd de moeder van alle...

Het eerder genoemde 'Sunburst' had alleen impact het Orion platform van Solarwinds, iets dat niet door iedereen gebruikt wordt die Solarwinds producten gebruikt.

Het hier genoemde Serv-U is ftp server software van Solarwinds, iets dat ook niet iedereen gebruikt die Solarwinds producten gebruikt.

Zo heeft elk pakket uiteindelijk zo zijn gevonden vulnerabilities, geheel afhankelijk of ze worden gevonden, door wie en of ze daadwerkelijk worden gepubliceerd. Voorbeeld Filezilla (FTP client en server): https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=filezilla
AuteurTijsZonderH Nieuwscoördinator @Cergorach13 juli 2021 14:42
Gaat Tweakers.net alle vulnerabilities behandelen van Solarwinds, if so, you missed a few:
Nee, maar wel als het gaat om zerodays. Dan is het, gezien de situatie van december, wel degelijk relevant. Voor nu nog met weinig context maar misschien wordt er pak-em-beet volgende week meer over bekend en kan het best een groter verhaal worden.
tc982 @TijsZonderH13 juli 2021 14:51
Dag Tijs,

De Solarwinds afdeling Orion is geënt op de Enterprise markt, en niet op de MSP markt. Dat is Solarwinds MSP dat nu afgesplitst is in N-Able

Zie topic: Solarwinds Hack & MSP
gekkie 13 juli 2021 17:37
Serv-u FTP server, ik voel in eens een nineties-vibe langs waaien :+
Vipertje @gekkie13 juli 2021 18:29
Ja of zoals ik toen noemde. word.exe :+
BlaBla1973 @gekkie13 juli 2021 19:13
Ja ik had ook gelijk het fxp gevoel, bij het lezen van de naam servU :)
Mooie tijd was dat..

[Reactie gewijzigd door BlaBla1973 op 23 juli 2024 02:54]

breezie @BlaBla197314 juli 2021 09:50
Moest er ook meteen aan denken. Serv-U FTP Server in combinatie met FlashFXP :+
PierreG 13 juli 2021 14:44
Net al 2 serv-u instances gepatched en morgen nog 2 ingepland. Ze spelen bij Solarwinds ook wat korter op de bal, van hen uit ook al wat warnings via mail ontvangen om asap te gaan updaten. De impact is natuurlijk ook wel groot.
Anoniem: 1322 @PierreG13 juli 2021 15:21
In ieder geval een stuk beter dan Microsoft. Iedereen zit nog steeds in de ellende met PrintNightmare. En nog geen woord van Microsoft....
PierreG @Anoniem: 132213 juli 2021 16:04
ja, zwijg me er van. Deze komt er nog eens bij maar daar hebben we ook onze handen aan vol
Bulkzooi 14 juli 2021 01:27
On July 12, 2021, SolarWinds confirmed an actively exploited zero-day vulnerability, CVE-2021-35211, in the Serv-U FTP and Managed File Transfer component of SolarWinds15.2.3 HF1 (released May 5, 2021) and all prior versions.

Successful exploitation of CVE-2021-35211 could enable an attacker to gain remote code execution on a vulnerable target system.

The vulnerability only exists when SSH is enabled in the Serv-U environment.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 02:54]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq