Недавно исправленную проблему в Serv-U атаковала китайская хак-группа DEV-0322 - «Новости»
- 10:30, 15-июл-2021
- Новости / Изображения / Преимущества стилей / Вёрстка / Добавления стилей
- Goldman
- 0
Ранее на этой неделе разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что проблему уже эксплуатируют хакеры. По информации компании, уязвимость использовалась лишь одним злоумышленником в атаках, нацеленных на ограниченное количество жертв.
Данная уязвимость представляет угрозу только для Serv-U Managed File Transfer и Serv-U Secure FTP. Уязвимыми считаются все версии Serv-U вплоть до обновленной 15.2.3 HF2, выпущенной несколько дней назад и содержащей исправление.
Исходно баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов SolarWinds, и теперь компания поделилась деталями о своей находке.
Специалисты Microsoft рассказали, что уязвимость в Serv-U эксплуатируют китайские хакеры, применяя ее для атак на оборонные и софтверные компании в США. Данную хак-группу компания отслеживает под идентификатором DEV-0322.
Сообщается, что угрозу обнаружили благодаря тому, что антивирус Defender стал замечать вредоносные процессы, порождаемые основным приложением Serv-U, что в конечном итоге привело к расследованию происходящего и обнаружению атак на уязвимость нулевого дня.
«Активность этой группы исходит из Китая, мы наблюдали как [злоумышленники] использую коммерческие VPN-решения и взломанные потребительские маршрутизаторы в своей инфраструктуре», — пишут эксперты.
В Microsoft говорят, что пользователи Serv-U могут проверить свои устройства на компрометацию, просмотрев файл журнала Serv-U (DebugSocketLog.txt) и выполнив поиск exception-сообщений. В частности, «C0000005; CSUSSHSocket::ProcessReceive» может указывать на то, что злоумышленники пытались взломать Serv-U, хотя исключение может отображаться и по другим причинам.
Другими признаками компрометации были названы:
- недавно созданные файлы .txt в папке ClientCommon;
- Serv-U порождает процессы для mshta.exe, powershell.exe, cmd.exe и процессы, запущенные из C:Windowsemp;
- нераспознанные глобальные пользователи в конфигурации Serv-U.
К сожалению, по данным Censys , в настоящее время в сети доступны более 8200 систем SolarWinds Serv-U с открытым SSH-портом, и их количество остается неизменным с прошлой недели, когда были выпущены патчи.
Комментарии (0)