Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo. Empresa está pedindo aos administradores que tomem cuidado com conexões potencialmente suspeitas via SSH.
A SolarWinds, empresa sediada no Texas que se tornou o epicentro de um ataque massivo à cadeia de suprimentos no final do ano passado, lançou patches para conter uma falha de execução remota de código em seu serviço de transferência de arquivos gerenciado Serv-U.
As correções, que visam os produtos Serv-U Managed File Transfer e Serv-U Secure FTP, chegam depois que a Microsoft notificou o fabricante do software de gerenciamento de TI e monitoramento remoto de que a falha estava sendo explorada. O ator da ameaça por trás da exploração ainda é desconhecido e não está claro exatamente como o ataque foi realizado.
“A Microsoft forneceu evidências de impacto limitado e direcionado ao cliente, embora a SolarWinds não tenha atualmente uma estimativa de quantos clientes podem ser afetados diretamente pela vulnerabilidade“, disse a SolarWinds em um comunicado publicado sexta-feira, dia 09 de julho, acrescentando que “não tem conhecimento da identidade do clientes potencialmente afetados. “
Afetando o Serv-U versão 15.2.3 HF1 e anterior, uma exploração bem-sucedida da deficiência ( CVE-2021-35211 ) pode permitir que um adversário execute um código arbitrário no sistema infectado, incluindo a capacidade de instalar programas maliciosos e visualizar, alterar, ou exclua dados confidenciais.
Como indicadores de comprometimento, a empresa está pedindo aos administradores que tomem cuidado com conexões potencialmente suspeitas via SSH dos endereços IP 98 [.] 176.196.89 e 68 [.] 235.178.32, ou via TCP 443 do endereço IP 208 [. ] 113,35,58. Desativar o acesso SSH na instalação do Serv-U também evita o comprometimento.
O problema foi resolvido no hotfix (HF) 2 do Serv-U versão 15.2.3 .
A SolarWinds também enfatizou em seu comunicado que a vulnerabilidade é “completamente alheia ao ataque da cadeia de suprimentos SUNBURST” e que não afeta outros produtos, notavelmente a plataforma Orion, que foi explorada para liberar malware e aprofundar nas redes alvo por hackers russos para espionar várias agências federais e empresas em uma das violações de segurança mais sérias da história dos Estados Unidos.
Uma série de ataques à cadeia de suprimentos de software desde então destacou a fragilidade das redes modernas e a sofisticação dos agentes de ameaças para identificar vulnerabilidades difíceis de encontrar em softwares amplamente usados para realizar espionagem e lançar ransomware, nos quais os hackers desligam os sistemas de negócios e exigir pagamento para permitir que eles recuperem o controle.
Avisos de segurança da SolarWinds
Esta vulnerabilidade de segurança afeta apenas Serv-U Managed File Transfer e Serv-U Secure FTP e não afeta nenhum outro produto SolarWinds ou N-able (anteriormente SolarWinds MSP).
A SolarWinds foi recentemente notificada pela Microsoft sobre uma vulnerabilidade de segurança relacionada ao Serv-U Managed File Transfer Server e ao Serv-U Secured FTP e desenvolveu um hotfix para resolver essa vulnerabilidade. Embora a pesquisa da Microsoft indique que essa exploração de vulnerabilidade envolve um conjunto limitado e direcionado de clientes e um único ator de ameaça, nossas equipes conjuntas se mobilizaram para lidar com isso rapidamente.
A vulnerabilidade existe no Serv-U versão 15.2.3 HF1 mais recente lançado em 5 de maio de 2021 e em todas as versões anteriores. Um ator de ameaça que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou executar programas no sistema afetado.
O hotfix (HF) 2 do Serv-U versão 15.2.3 foi lançado. Consulte a tabela de atualizações de segurança abaixo para obter a atualização aplicável ao seu sistema. Recomendamos que você instale essas atualizações imediatamente. Se você não conseguir instalar essas atualizações, consulte as perguntas frequentes neste Comunicado de segurança para obter informações sobre como ajudar a proteger seu sistema contra essa vulnerabilidade.
Detalhes adicionais sobre a vulnerabilidade serão publicados após dar aos clientes tempo suficiente para atualizar para a proteção de seus ambientes.
Produtos afetados
Serv-U 15.2.3 HF1 e todas as versões anteriores de Serv-U
Software corrigido
Serv-U 15.2.3 HF2
Atualizações de Segurança
Versão do software | Caminhos de atualização |
Serv-U 15.2.3 HF1 | Aplicar Serv-U 15.2.3 HF2 , disponível em seu Portal do Cliente |
Serv-U 15.2.3 | Aplique o Serv-U 15.2.3 HF1 e , em seguida, aplique o Serv-U 15.2.3 HF2 , disponível em seu Portal do cliente |
Todas as versões Serv-U anteriores a 15.2.3 | Atualize para Serv-U 15.2.3 , aplique Serv-U 15.2.3 HF1 e , em seguida, aplique Serv-U 15.2.3 HF2 , disponível em seu Portal do Cliente |
Fonte: The Hacker News & SolarWinds
Veja também:
- Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare RCE
- Hackers infectam com ransomware Ryuk explorando falha do usuário
- 14 tecnologias híbridas de local de trabalho para impulsionar o futuro do trabalho
- Implantação do trabalho remoto exige estratégia e gerenciamento de risco
- Guardicore analisa o worm Indexsinas
- Webinar “Como construir um plano de governança e segurança adequado a LGPD”
- PIX: o que não te contaram
- NIST lança definição de ‘software crítico’ para rede e recursos de computação
- Micropatches para PrintNightmare estão disponíveis na plataforma 0patch
- PrintNightmare – zero day EoP combinado com RCE – divulgado por “engano” por pesquisadores chineses
- Relatório de Segurança da Força de Trabalho Remota 2021
- O que são contêineres de nuvem e como eles funcionam?
4 Trackbacks / Pingbacks