Há uma nova vulnerabilidade de segurança de dia zero (CVE-2021-35211) ameaçando SolarWinds, ou mais particularmente, sua linha de produtos Serv-U. A exploração foi descoberta e relatada à SolawWinds pela Microsoft. De acordo com a assessoria oficial, o recém-divulgado dia zero “afeta apenas o Serv-U Managed File Transfer e o Serv-U Secure FTP e não afeta nenhum outro SolarWinds ou N-capaz (anteriormente SolarWinds MSP) produtos."
Pelo visto, A Microsoft notificou recentemente a SolarWinds sobre o problema relacionado ao Servidor de transferência de arquivos gerenciado Serv-U e ao FTP seguro do Serv-U. O impacto da exploração é limitado e direcionado, embora uma estimativa exata dos clientes afetados ainda não seja conhecida. A SolarWinds também não tem conhecimento da identidade dos clientes potencialmente afetados, de acordo com o conselho.
CVE-2021-35211
CVE-2021-35211 relacionado à versão Serv-U 15.2.3 HF1 que foi lançado em maio 2021. As versões anteriores também são afetadas. Uma exploração bem-sucedida da vulnerabilidade pode levar à execução arbitrária de códigos com privilégios. Uma vez que isso seja alcançado, um ator de ameaça pode instalar e executar programas, Visão, mudança, e deletar data no sistema vulnerável.
Versão Serv-U 15.2.3 hotfix (HF) 2 foi lançado para o endereço CVE-2021-35211. Você pode consultar o consultivo oficial para mais detalhes técnicos.
Ataque SolarWinds do ano passado
Ano passado, o cavalo de Troia Sunburst foi usado contra o SolarWinds em um ataque realizado por meio de seu próprio aplicativo chamado Orion. Os pesquisadores acreditam que o conhecido grupo de hackers russo chamado APT29 (alternativamente conhecido como "Cozy Bear") estava por trás do ataque.
Os cibercriminosos conseguiram se infiltrar nos sistemas de e-mail da empresa usando um pacote malicioso, descrito como uma versão modificada do programa SolarWinds Orion. Aparentemente, os criminosos estavam usando atualizações infectadas por malware contra as redes visadas.
Após a descoberta do malware e dada a gravidade da situação, uma equipe conjunta de especialistas planejou um interruptor de eliminação para parar o malware de se propagar mais. Especialistas da Microsoft, Vai Papai, e a FireEye detectou que um único domínio controlado por hacker está operando o serviço principal de comando e controle. O interruptor de eliminação foi projetado para desativar novas infecções e também bloquear a execução de anteriores, interrompendo a atividade para o domínio.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: