Il existe une nouvelle vulnérabilité de sécurité zero-day (CVE-2021-35211) menaçant SolarWinds, ou plus particulièrement, sa gamme de produits Serv-U. L'exploit a été découvert et signalé à SolawWinds par Microsoft. Selon l'avis officiel, le nouveau jour zéro "affecte uniquement le transfert de fichiers géré Serv-U et le FTP sécurisé Serv-U et n'affecte aucun autre SolarWinds ou N-able (anciennement SolarWinds MSP) des produits."
Apparemment, Microsoft a récemment informé SolarWinds du problème lié au serveur de transfert de fichiers géré Serv-U et au FTP sécurisé Serv-U. L'impact de l'exploit est limité et ciblé, bien qu'une estimation exacte des clients concernés ne soit toujours pas connue. SolarWinds ignore également l'identité des clients potentiellement concernés, selon l'avis.
CVE-2021-35211
CVE-2021-35211 lié à la version Serv-U 15.2.3 HF1 qui est sorti en mai 2021. Les versions antérieures sont également affectées. Un exploit réussi de la vulnérabilité pourrait conduire à l'exécution de code arbitraire avec des privilèges. Une fois celui-ci atteint, un acteur menaçant pourrait installer et exécuter des programmes, vue, changement, et supprimer la date sur le système vulnérable.
Version Serv-U 15.2.3 correctif (HF) 2 a été publié pour répondre à CVE-2021-35211. Vous pouvez consulter l'avis officiel pour plus de détails techniques.
L'attaque SolarWinds de l'année dernière
L'année dernière, le cheval de Troie Sunburst a été utilisé contre les SolarWinds dans une attaque menée via leur propre application appelée Orion. Les chercheurs pensaient que le célèbre groupe de piratage russe appelé APT29 (également connu sous le nom de « Cozy Bear ») était derrière l'attaque.
Les cybercriminels ont pu infiltrer les systèmes de messagerie de l'entreprise à l'aide d'un package malveillant, décrit comme une version modifiée du programme SolarWinds Orion. Apparemment, les criminels utilisaient des mises à jour infectées par des logiciels malveillants contre les réseaux ciblés.
Suite à la découverte du malware et compte tenu de la gravité de la situation, une équipe conjointe d'experts a conçu un kill switch pour arrêter le malware de se propager plus loin. Experts de Microsoft, Allez papa, et FireEye a détecté qu'un seul domaine contrôlé par un pirate informatique exécute le service de commande et de contrôle principal. Le kill switch a été conçu pour désactiver les nouvelles infections et également bloquer l'exécution des précédentes en arrêtant l'activité sur le domaine.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: