Vulnerabilidade de dia zero da SolarWinds sob ataque ativo

Uma vulnerabilidade RCE no serviço de transferência de arquivos gerenciado Serv-U fornecido pela SolarWinds está sendo explorada. A empresa SolarWinds, anteriormente alvo de um ataque à cadeia de suprimentos , lançou patches para consertar a falha.

O que aconteceu?

A Microsoft apresentou evidências de clientes limitados e direcionados impactados pela falha de dia zero rastreada como CVE-2021-35211 . No entanto, a SolarWinds não tem uma estimativa exata de quantos clientes podem ser afetados pela vulnerabilidade.

  • A falha afeta o Serv-U versão 15.2.3 HF1 e anteriores. A exploração bem-sucedida desta vulnerabilidade permite que os invasores executem códigos arbitrários no sistema infectado.
  • Além disso, a vulnerabilidade permite que os invasores instalem programas maliciosos e visualizem, alterem ou excluam dados importantes. No entanto, a falha é corrigida no hotfix (HF) 2 do Serv-U versão 15.2.3.
  • A empresa está pedindo aos administradores que tomem cuidado com qualquer conexão potencialmente suspeita via SSH a partir dos endereços IP 98 [.] 176 [.] 196 [.] 89 e 68 [.] 235 [.] 178 [.] 32 ou 208 [. ] 113 [.] 35 [.] 58 via TCP 443.
  • A SolarWinds declarou em seu recente comunicado que o dia zero encontrado não está relacionado ao ataque da cadeia de suprimentos SUNBURST. Além disso, não afeta nenhum outro produto, especialmente a plataforma Orion.

Ataques recentes à cadeia de abastecimento

Vários incidentes vieram à tona nos quais ataques à cadeia de suprimentos foram executados.  

  • Recentemente, Kaseya foi alvejado pelo ransomware REVIL em um ataque de cadeia de fornecimento, tendo como alvo as vulnerabilidades de segurança crítica ( CVE-2021-30116 19 20 ) na sua solução virtual administrador do sistema.
  • Um monumental ataque à cadeia de suprimentos da indústria da aviação foi relacionado ao ator estatal chinês APT41, em junho.
  • Em maio, o Canada Post sofreu um incidente de violação de dados que afetou 950.000 de seus clientes. A violação de segurança ocorreu devido a um ataque à cadeia de suprimentos baseado em malware.

Conclusão

Os recentes ataques à cadeia de abastecimento destacam a vulnerabilidade das redes e cadeias de abastecimento modernas. Os invasores estão identificando cada vez mais vulnerabilidades em cadeias de software amplamente utilizadas para implantar software malicioso. Portanto, sugere-se que as organizações sigam as recomendações fornecidas pelas agências de segurança e revisem regularmente sua postura de segurança cibernética.

Fonte: https://cyware.com/