Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo

Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo. Empresa está pedindo aos administradores que tomem cuidado com conexões potencialmente suspeitas via SSH.

A SolarWinds, empresa sediada no Texas que se tornou o epicentro de um ataque massivo à cadeia de suprimentos no final do ano passado, lançou patches para conter uma falha de execução remota de código em seu serviço de transferência de arquivos gerenciado Serv-U.

As correções, que visam os produtos Serv-U Managed File Transfer e Serv-U Secure FTP, chegam depois que a Microsoft notificou o fabricante do software de gerenciamento de TI e monitoramento remoto de que a falha estava sendo explorada. O ator da ameaça por trás da exploração ainda é desconhecido e não está claro exatamente como o ataque foi realizado.

A Microsoft forneceu evidências de impacto limitado e direcionado ao cliente, embora a SolarWinds não tenha atualmente uma estimativa de quantos clientes podem ser afetados diretamente pela vulnerabilidade“, disse a SolarWinds em um comunicado publicado sexta-feira, dia 09 de julho,  acrescentando que “não tem conhecimento da identidade do clientes potencialmente afetados.

Afetando o Serv-U versão 15.2.3 HF1 e anterior, uma exploração bem-sucedida da deficiência ( CVE-2021-35211 ) pode permitir que um adversário execute um código arbitrário no sistema infectado, incluindo a capacidade de instalar programas maliciosos e visualizar, alterar, ou exclua dados confidenciais.

Como indicadores de comprometimento, a empresa está pedindo aos administradores que tomem cuidado com conexões potencialmente suspeitas via SSH dos endereços IP 98 [.] 176.196.89 e 68 [.] 235.178.32, ou via TCP 443 do endereço IP 208 [. ] 113,35,58. Desativar o acesso SSH na instalação do Serv-U também evita o comprometimento.

O problema foi resolvido no hotfix (HF) 2 do Serv-U versão 15.2.3 .

 

A SolarWinds também enfatizou em seu comunicado que a vulnerabilidade é “completamente alheia ao ataque da cadeia de suprimentos SUNBURST” e que não afeta outros produtos, notavelmente a plataforma Orion, que foi explorada para liberar malware e aprofundar nas redes alvo por hackers russos para espionar várias agências federais e empresas em uma das violações de segurança mais sérias da história dos Estados Unidos.

Uma série de ataques à cadeia de suprimentos de software desde então destacou a fragilidade das redes modernas e a sofisticação dos agentes de ameaças para identificar vulnerabilidades difíceis de encontrar em softwares amplamente usados ​​para realizar espionagem e lançar ransomware, nos quais os hackers desligam os sistemas de negócios e exigir pagamento para permitir que eles recuperem o controle.

 

Avisos de segurança da SolarWinds

Esta vulnerabilidade de segurança afeta apenas Serv-U Managed File Transfer e Serv-U Secure FTP e não afeta nenhum outro produto SolarWinds ou N-able (anteriormente SolarWinds MSP).
A SolarWinds foi recentemente notificada pela Microsoft sobre uma vulnerabilidade de segurança relacionada ao Serv-U Managed File Transfer Server  e ao Serv-U Secured FTP  e desenvolveu um hotfix para resolver essa vulnerabilidade. Embora a pesquisa da Microsoft indique que essa exploração de vulnerabilidade envolve um conjunto limitado e direcionado de clientes e um único ator de ameaça, nossas equipes conjuntas se mobilizaram para lidar com isso rapidamente.

A vulnerabilidade existe no Serv-U versão 15.2.3 HF1 mais recente lançado em 5 de maio de 2021 e em todas as versões anteriores. Um ator de ameaça que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou executar programas no sistema afetado.

O hotfix (HF) 2 do Serv-U versão 15.2.3 foi lançado. Consulte a tabela de atualizações de segurança abaixo para obter a atualização aplicável ao seu sistema. Recomendamos que você instale essas atualizações imediatamente. Se você não conseguir instalar essas atualizações, consulte as perguntas frequentes  neste Comunicado de segurança para obter informações sobre como ajudar a proteger seu sistema contra essa vulnerabilidade.

Detalhes adicionais sobre a vulnerabilidade serão publicados após dar aos clientes tempo suficiente para atualizar para a proteção de seus ambientes.

Produtos afetados
Serv-U 15.2.3 HF1 e todas as versões anteriores de Serv-U

Software corrigido
Serv-U 15.2.3 HF2
 
Atualizações de Segurança

Versão do software

Caminhos de atualização

Serv-U 15.2.3 HF1

Aplicar  Serv-U 15.2.3  HF2 , disponível em seu Portal do Cliente

Serv-U  15.2.3

Aplique o Serv-U 15.2.3  HF1 e , em seguida, aplique o Serv-U 15.2.3  HF2 , disponível em seu Portal do cliente

Todas as  versões Serv-U anteriores a 15.2.3

Atualize para Serv-U  15.2.3 , aplique Serv-U 15.2.3  HF1 e , em seguida, aplique Serv-U 15.2.3  HF2 , disponível em seu Portal do Cliente

 

Fonte: The Hacker News & SolarWinds

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Cuba, Política e liberdade de acessos às redes sociais e a internet
  2. Sodimac é condenada a pagar indenização com base na LGPD
  3. Autoridade Belga multa empresa por conflito na função do DPO
  4. PIS e Cofins podem ser abatidos para investimentos com a LGPD

Deixe sua opinião!