Nová kritická zraniteľnosť SolarWinds Zero-Day pod aktívnym útokom

SolarWinds, spoločnosť so sídlom v Texase, ktorá sa koncom minulého roka stala epicentrom masívneho útoku na dodávateľský reťazec, vydala záplaty, ktoré obsahujú chybu spustenia vzdialeného kódu v jej službe spravovaného prenosu súborov Serv-U.

Opravy, ktoré sa zameriavajú na produkty Serv-U Managed File Transfer a Serv-U Secure FTP, prichádzajú po tom, čo spoločnosť Microsoft oznámila výrobcovi softvéru na správu IT a vzdialeného monitorovania, že chyba sa zneužíva vo voľnej prírode. Aktér hrozby za zneužitím je zatiaľ neznámy a nie je jasné, ako presne bol útok vykonaný.

„Microsoft poskytol dôkazy o obmedzenom, cielenom vplyve na zákazníkov, hoci SolarWinds v súčasnosti nemá odhad, koľko zákazníkov môže byť zraniteľnosťou priamo zasiahnutých,“ uviedol SolarWinds vo vyhlásení zverejnenom v piatok a dodal, že „nevie o identite potenciálne ovplyvnených zákazníkov.”

Ovplyvňujúce verzie Serv-U 15.2.3 HF1 a skôr, úspešné využitie nedostatku (CVE-2021-35211) by mohlo umožniť protivníkovi spustiť ľubovoľný kód na infikovanom systéme, vrátane možnosti inštalovať škodlivé programy a prezerať, meniť alebo mazať citlivé údaje.

Ako indikátory kompromisu spoločnosť vyzýva správcov, aby si dávali pozor na potenciálne podozrivé pripojenia cez SSH z IP adries 98[.]176.196.89 a 68[.]235.178.32 alebo cez TCP 443 z IP adresy 208[.]113.35.58. Zakázanie prístupu SSH pri inštalácii Serv-U tiež zabraňuje kompromisu.

Problém bol vyriešený vo verzii Serv-U 15.2.3 rýchla oprava (HF) 2.

SolarWinds vo svojom odporúčaní tiež zdôraznil, že zraniteľnosť „úplne nesúvisí s útokom na dodávateľský reťazec SUNBURST“ a že neovplyvňuje iné produkty, najmä platformu Orion, ktorá bola zneužitá na odstránenie škodlivého softvéru a hlbšie preniknutie do cieľových sietí podozrivými Rusmi. hackerov, aby špehovali viaceré federálne agentúry a podniky pri jednom z najzávažnejších porušení bezpečnosti v histórii USA.

Séria útokov na softvérový dodávateľský reťazec odvtedy poukázala na krehkosť moderných sietí a dômyselnosť aktérov hroziacich pri identifikácii ťažko dostupných zraniteľností v široko používanom softvéri na špionáž a vyhadzovanie ransomvéru, pri ktorom hackeri vypínajú systémy a požadovať platbu, aby im umožnila znovu získať kontrolu.