SolarWinds, la compañía en el centro de un ataque a la cadena de suministro que comprometió a nueve agencias estadounidenses y 100 empresas privadas, está luchando para contener una nueva amenaza a la seguridad: una vulnerabilidad crítica de día cero en su línea de productos Serv-U.
Microsoft descubrió las vulnerabilidades y las denunció en privado a SolarWinds, esta última empresa. dijo en un aviso
“Microsoft ha proporcionado evidencia de un impacto limitado y específico en el cliente, aunque SolarWinds no tiene actualmente una estimación de cuántos clientes pueden verse afectados directamente por la vulnerabilidad”, escribieron los funcionarios de la empresa. “SolarWinds desconoce la identidad de los clientes potencialmente afectados”.
Solo SolarWinds Serv-U Managed File Transfer y Serv-U Secure FTP, y por extensión, Serv-U Gateway, un componente de esos dos productos, se ven afectados por esta vulnerabilidad, que permite a los atacantes ejecutar de forma remota código malicioso en sistemas vulnerables.
Un atacante puede obtener acceso privilegiado a máquinas explotadas que alojan productos Serv-U y luego podría instalar programas; ver, cambiar o eliminar datos; o ejecutar programas en el sistema afectado. La vulnerabilidad existe en la última versión 15.2.3 HF1 de Serv-U, lanzada el 5 de mayo, y en todas las versiones anteriores.
SolarWinds ha emitido una revisión para mitigar los ataques mientras la empresa trabaja en una solución permanente. Las personas que ejecutan Serv-U versión 15.2.3 HF1 deben aplicar el hotfix (HF) 2; aquellos que usan Serv-U 15.2.3 deben aplicar Serv-U 15.2.3 HF1 y luego aplicar Serv-U 15.2.3 HF2; y aquellos que ejecutan versiones de Serv-U anteriores a 15.2.3 deben actualizar a Serv-U 15.2.3, aplicar Serv-U 15.2.3 HF1 y luego aplicar Serv-U 15.2.3 HF2. La compañía dice que los clientes deben instalar las correcciones de inmediato.
Las revisiones están disponibles aquí. La desactivación del acceso SSH también evita la explotación.
El gobierno federal ha atribuido el ataque a la cadena de suministro del año pasado a los piratas informáticos que trabajan para el Servicio de Inteligencia Exterior de Rusia, abreviado como SVR, que durante más de una década ha realizado campañas de malware dirigidas a gobiernos, centros de estudios políticos y otras organizaciones en países como Alemania y Uzbekistán. , Corea del Sur y EE. UU. Objetivos ha incluido el Departamento de Estado de EE. UU. y la Casa Blanca en 2014.
Los piratas informáticos utilizaron ese acceso para enviar una actualización de software malicioso a unos 18.000 clientes del producto de gestión de red Orion de SolarWinds. De esos clientes, aproximadamente 110 recibieron un ataque de seguimiento que instaló una carga útil en una etapa posterior que exfiltró datos patentados. El malware instalado en la campaña de ataque se conoce como Sunburst. Una vez más, SolarWinds dijo que los exploits en curso ahora no tienen conexión.
A fines del año pasado, las vulnerabilidades de día cero en el producto Orion de SolarWinds fueron explotadas por un grupo diferente de atacantes que los investigadores han vinculado al gobierno de China. Esos atacantes instalaron malware que los investigadores llaman SuperNova. Los actores de amenazas vinculados a China también se han dirigido a SolarWinds. Al menos una agencia del gobierno de los Estados Unidos fue blanco de esta operación.