Er is een nieuwe zero-day-beveiligingskwetsbaarheid (CVE-2021-35211) dreigende SolarWinds, of meer in het bijzonder, zijn Serv-U-productlijn. De exploit is ontdekt en gerapporteerd aan SolawWinds door Microsoft. Volgens de officiële adviesorgaan, de nieuw bekendgemaakte zero-day "heeft alleen invloed op Serv-U Managed File Transfer en Serv-U Secure FTP en heeft geen invloed op andere SolarWinds of N-able (voorheen SolarWinds MSP) producten.”
Blijkbaar, Microsoft heeft SolarWinds onlangs op de hoogte gebracht van het probleem met betrekking tot Serv-U Managed File Transfer Server en Serv-U Secured FTP. De impact van de exploit is beperkt en gericht, hoewel een exacte schatting van de getroffen klanten nog steeds niet bekend is. SolarWinds is zich ook niet bewust van de identiteit van mogelijk getroffen klanten, volgens het advies.
CVE-2021-35211
CVE-2021-35211 gerelateerd aan Serv-U-versie 15.2.3 HF1 die in mei werd uitgebracht 2021. Eerdere versies worden ook beïnvloed. Een succesvol misbruik van de kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code met privileges. Zodra dit is bereikt, een dreigingsactor kan programma's installeren en uitvoeren, view, verandering, en verwijder datum op het kwetsbare systeem.
Serv-U-versie 15.2.3 hotfix (HF) 2 is vrijgegeven om CVE-2021-35211 te adresseren. U kunt verwijzen naar de officiële adviesorgaan voor meer technische details.
De SolarWinds-aanval van vorig jaar
Vorig jaar, de Sunburst Trojan werd gebruikt tegen de SolarWinds in een aanval die werd uitgevoerd via hun eigen applicatie genaamd Orion. Onderzoekers geloofden dat de bekende Russische hackgroep genaamd APT29 (ook wel bekend als "Cozy Bear") zat achter de aanval.
De cybercriminelen waren in staat om de e-mailsystemen van het bedrijf te infiltreren met behulp van een kwaadaardig pakket, beschreven als een aangepaste versie van het SolarWinds Orion-programma. Blijkbaar gebruikten de criminelen met malware geïnfecteerde updates tegen de gerichte netwerken.
Na de ontdekking van de malware en gezien de ernst van de situatie, een gezamenlijk team van experts bedacht een kill-schakelaar om de malware te stoppen van verdere verspreiding. Experts van Microsoft, GoDaddy, en FireEye ontdekte dat één door hackers gecontroleerd domein de belangrijkste commando- en controleservice beheert. De kill-schakelaar is ontworpen om nieuwe infecties uit te schakelen en ook het uitvoeren van eerdere infecties te blokkeren door de activiteit naar het domein te stoppen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: