主动攻击下的新严重 SolarWinds 零日漏洞

SolarWinds 是总部位于德克萨斯州的公司,去年年底成为大规模供应链攻击的中心,该公司已发布补丁以包含其 Serv-U 托管文件传输服务中的远程代码执行缺陷。

这些针对 Serv-U 托管文件传输和 Serv-U 安全 FTP 产品的修复程序是在微软通知 IT 管理和远程监控软件制造商该漏洞被广泛利用之后发布的。攻击背后的威胁行为者仍然未知,也不清楚攻击是如何进行的。

“微软已经提供了有限的、有针对性的客户影响的证据,尽管 SolarWinds 目前没有估计有多少客户可能会直接受到该漏洞的影响,”SolarWinds在周五发布的一份咨询报告中表示,并补充说它“不知道该漏洞的身份”可能受影响的客户。”

影响 Serv-U 15.2.3 HF1 及之前版本,成功利用该缺陷 ( CVE-2021-35211 ) 可使攻击者在受感染的系统上运行任意代码,包括安装恶意程序以及查看、更改、或删除敏感数据。

作为妥协的指标,该公司敦促管理员注意来自 IP 地址 98[.]176.196.89 和 68[.]235.178.32 的 SSH 或来自 IP 地址 208[.] 的 TCP 443 的潜在可疑连接。 ]113.35.58。在 Serv-U 安装上禁用 SSH 访问也可以防止受到损害。

该问题已在Serv-U 版本 15.2.3 hotfix (HF) 2 中得到解决。

SolarWinds 在其公告中还强调,该漏洞“与 SUNBURST 供应链攻击完全无关”,并且不会影响其他产品,尤其是 Orion Platform,该平台被疑似俄罗斯人利用来投放恶意软件并深入挖掘目标网络。黑客在美国历史上最严重的安全漏洞之一中监视多个联邦机构和企业。

此后发生的一系列软件供应链攻击凸显了现代网络的脆弱性和威胁参与者在广泛使用的软件中识别难以发现的漏洞以进行间谍活动和投放勒索软件的复杂性,其中黑客关闭了业务并要求付款以允许他们重新获得控制权。