La Rivista Del Manifesto
Nero Su Bianco

Una nuova vulnerabilità Zero-Day critica di SolarWinds

SolarWinds, la società con sede in Texas che è diventata l’epicentro di un massiccio attacco alla catena di approvvigionamento alla fine dello scorso anno, ha rilasciato patch per contenere un difetto di esecuzione del codice remoto nel suo servizio di trasferimento file gestito Serv-U.

Le correzioni, che prendono di mira i prodotti Serv-U Managed File Transfer e Serv-U Secure FTP, arrivano dopo che Microsoft ha notificato al produttore di software di gestione IT e monitoraggio remoto che il difetto veniva sfruttato in natura. L’attore della minaccia dietro lo sfruttamento rimane ancora sconosciuto e non è chiaro esattamente come sia stato effettuato l’attacco.
“Microsoft ha fornito prove di un impatto limitato e mirato sui clienti, sebbene SolarWinds al momento non disponga di una stima di quanti clienti potrebbero essere direttamente interessati dalla vulnerabilità”, ha affermato SolarWinds in un avviso pubblicato venerdì, aggiungendo di “non essere a conoscenza dell’identità del clienti potenzialmente interessati”.

Colpendo Serv-U versione 15.2.3 HF1 e precedenti, uno sfruttamento riuscito della lacuna (CVE-2021-35211) potrebbe consentire a un avversario di eseguire codice arbitrario sul sistema infetto, inclusa la possibilità di installare programmi dannosi e visualizzare, modificare, o cancellare i dati sensibili.

Come indicatori di compromissione, l’azienda invita gli amministratori a prestare attenzione a connessioni potenzialmente sospette tramite SSH dagli indirizzi IP 98[.]176.196.89 e 68[.]235.178.32, o tramite TCP 443 dall’indirizzo IP 208[. ]113.35.58. Anche la disabilitazione dell’accesso SSH nell’installazione di Serv-U impedisce il compromesso.

Il problema è stato risolto nell’hotfix Serv-U versione 15.2.3 (HF) 2.

SolarWinds ha anche sottolineato nel suo avviso che la vulnerabilità è “completamente estranea all’attacco alla catena di approvvigionamento SUNBURST” e che non interessa altri prodotti, in particolare la piattaforma Orion, che è stata sfruttata per eliminare malware e scavare più a fondo nelle reti mirate da sospetti russi hacker per spiare più agenzie federali e aziende in una delle più gravi violazioni della sicurezza nella storia degli Stati Uniti.

Da allora una serie di attacchi alla catena di fornitura del software ha evidenziato la fragilità delle reti moderne e la sofisticatezza degli attori delle minacce per identificare vulnerabilità difficili da trovare in software ampiamente utilizzati per condurre attività di spionaggio e eliminare ransomware, in cui gli hacker arrestano i sistemi di affari e chiedere il pagamento per consentire loro di riprendere il controllo.