C'è una nuova vulnerabilità zero-day della sicurezza (CVE-2021-35211) minaccioso SolarWinds, o più in particolare, la sua linea di prodotti Serv-U. L'exploit è stato scoperto e segnalato a SolawWinds da Microsoft. Secondo l'advisory ufficiale, lo zero-day appena divulgato “colpisce solo Serv-U Managed File Transfer e Serv-U Secure FTP e non influisce su nessun altro SolarWinds o N-able (precedentemente SolarWinds MSP) prodotti."
Apparentemente, Microsoft ha recentemente notificato a SolarWinds il problema relativo a Serv-U Managed File Transfer Server e Serv-U Secured FTP. L'impatto dell'exploit è limitato e mirato, anche se una stima esatta dei clienti interessati non è ancora nota. SolarWinds non è inoltre a conoscenza dell'identità dei clienti potenzialmente interessati, secondo l'avviso.
CVE-2021-35211
CVE-2021-35211 relativo alla versione Serv-U 15.2.3 HF1 che è stato rilasciato a maggio 2021. Anche le versioni precedenti sono interessate. Un corretto sfruttamento della vulnerabilità potrebbe portare all'esecuzione di codice arbitrario con privilegi. Una volta raggiunto questo obiettivo, un attore di minacce potrebbe installare ed eseguire programmi, vista, modificare, ed eliminare la data sul sistema vulnerabile.
Versione Serv-U 15.2.3 aggiornamento rapido (HF) 2 è stato rilasciato per indirizzare CVE-2021-35211. È possibile fare riferimento a l'advisory ufficiale per maggiori dettagli tecnici.
L'attacco SolarWinds dell'anno scorso
L'anno scorso, il trojan Sunburst è stato utilizzato contro i SolarWinds in un attacco effettuato tramite la propria applicazione chiamata Orion. I ricercatori credevano che il noto gruppo di hacker russo chiamato APT29 (in alternativa noto come "Cozy Bear") c'era dietro l'attacco.
I criminali informatici sono riusciti a infiltrarsi nei sistemi di posta elettronica dell'azienda utilizzando un pacchetto dannoso, descritto come una versione modificata del programma SolarWinds Orion. Apparentemente i criminali stavano usando aggiornamenti infetti da malware contro le reti mirate.
A seguito della scoperta del malware e vista la gravità della situazione, un team congiunto di esperti ha ideato un kill switch per fermare il malware dal propagarsi ulteriormente. Esperti di Microsoft, Vai papà, e FireEye ha rilevato che un singolo dominio controllato da hacker gestisce il servizio di comando e controllo principale. Il kill switch è stato progettato per disabilitare nuove infezioni e anche bloccare l'esecuzione di quelle precedenti interrompendo l'attività al dominio.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: