SolarWinds.jpg

Novo bug de dia zero no SolarWinds é usado em ataques

Empresa liberou correções para remediar uma vulnerabilidade de execução remota de código no serviço de transferência de arquivos
Da Redação
14/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Depois de ser alvo de um ataque massivo à cadeia de suprimentos no final de 2020, a SolarWinds liberou novas correções para remediar uma vulnerabilidade de execução remota de código (RCE) no serviço de transferência de arquivos controlado pelo Serv-U, software que permite a transferência de arquivos via acesso remoto, de acordo com o The Hacker News.

As atualizações contemplam os protocolos Serv-U Managed File Transfer e Serv-U Secure FTP e estão sendo disponibilizadas depois que a Microsoft identificou a vulnerabilidade. Ainda não se sabe quem é o operador da ameaça por trás da exploração, nem como o ataque foi realizado, embora as vulnerabilidades já estivessem sendo usadas por algum tempo.

A exploração bem-sucedida da falha (referenciada como CVE-2021-35211) pode permitir que um invasor remova, leia ou altere dados confidenciais e instale programas maliciosos no sistema afetado. Ambas as conexões SSH (protocolo de rede para o usuário internet acessar, administrar e modificar remotamente servidores) dos endereços IP 98.176.196.89 e 68.235.178.32 e as conexões TCP na porta 443 para o endereço IP 208.113.35.58 são fatores que podem indicar comprometimento. Para evitar uma violação, os usuários afetados precisam desabilitar o acesso SSH na instalação do Serv-U.

Veja isso
SolarWinds: invasão começou em 2019
Grupo por trás do hacking à SolarWinds ataca Microsoft

O comunicado da SolarWinds diz que a Microsoft forneceu evidências de impacto limitado e direcionado ao cliente, embora ela não tenha atualmente uma estimativa de quantos clientes podem ser diretamente afetados pela vulnerabilidade.

O governo dos EUA acredita que os hackers estão ligados ao Serviço de Inteligência Estrangeiro (SVR) da Rússia. Segundo relatos, o SVR realizou ataques de malware contra think tanks políticos, governos e outras organizações nos Estados Unidos, Coreia do Sul, Uzbequistão, Alemanha, entre outros. Em 2014, o Departamento de Estado dos EUA e a Casa Branca estavam entre os alvos.

Estima-se que, ao obter acesso não autorizado ao produto de gerenciamento de rede Orion da SolarWinds, cerca de 18 mil clientes foram afetados. Até o momento, sabe-se que cerca de 110 clientes também foram alvo de um ataque subsequente que exfiltrou dados confidenciais por meio do malware Sunburst. A SolarWinds afirmou que a atividade de exploração atual não parece estar conectada.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest