Недавно исправленную проблему в Serv-U атаковала китайская хак-группа DEV-0322 - «Новости»

  • 10:30, 15-июл-2021
  • Новости / Изображения / Преимущества стилей / Вёрстка / Добавления стилей
  • Goldman
  • 0

Ранее на этой неделе разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что проблему уже эксплуатируют хакеры. По информации компании, уязвимость использовалась лишь одним злоумышленником в атаках, нацеленных на ограниченное количество жертв.


Данная уязвимость представляет угрозу только для Serv-U Managed File Transfer и Serv-U Secure FTP. Уязвимыми считаются все версии Serv-U вплоть до обновленной 15.2.3 HF2, выпущенной несколько дней назад и содержащей исправление.


Исходно баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов SolarWinds, и теперь компания поделилась деталями о своей находке.


Специалисты Microsoft рассказали, что уязвимость в Serv-U эксплуатируют китайские хакеры, применяя ее для атак на оборонные и софтверные компании в США. Данную хак-группу компания отслеживает под идентификатором DEV-0322.


Сообщается, что угрозу обнаружили благодаря тому, что  антивирус Defender стал замечать вредоносные процессы, порождаемые основным приложением Serv-U, что в конечном итоге привело к расследованию происходящего и обнаружению атак на уязвимость нулевого дня.


«Активность этой группы исходит из Китая, мы наблюдали как [злоумышленники] использую коммерческие VPN-решения и взломанные потребительские маршрутизаторы в своей инфраструктуре», — пишут эксперты.


В Microsoft говорят, что пользователи Serv-U могут проверить свои устройства на компрометацию, просмотрев файл журнала Serv-U (DebugSocketLog.txt) и выполнив поиск exception-сообщений. В частности, «C0000005; CSUSSHSocket::ProcessReceive»  может указывать на то, что злоумышленники пытались взломать Serv-U, хотя исключение может отображаться и по другим причинам.


Другими признаками компрометации были названы:



  • недавно созданные файлы .txt в папке ClientCommon;
  • Serv-U порождает процессы для mshta.exe, powershell.exe, cmd.exe и процессы, запущенные из C:Windowsemp;
  • нераспознанные глобальные пользователи в конфигурации Serv-U.

К сожалению, по данным Censys , в настоящее время в сети доступны более 8200 систем SolarWinds Serv-U с открытым SSH-портом, и их количество остается неизменным с прошлой недели, когда были выпущены патчи.


Ранее на этой неделе разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что проблему уже эксплуатируют хакеры. По информации компании, уязвимость использовалась лишь одним злоумышленником в атаках, нацеленных на ограниченное количество жертв. Данная уязвимость представляет угрозу только для Serv-U Managed File Transfer и Serv-U Secure FTP. Уязвимыми считаются все версии Serv-U вплоть до обновленной 15.2.3 HF2, выпущенной несколько дней назад и содержащей исправление. Исходно баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов SolarWinds, и теперь компания поделилась деталями о своей находке. Специалисты Microsoft рассказали, что уязвимость в Serv-U эксплуатируют китайские хакеры, применяя ее для атак на оборонные и софтверные компании в США. Данную хак-группу компания отслеживает под идентификатором DEV-0322. Сообщается, что угрозу обнаружили благодаря тому, что антивирус Defender стал замечать вредоносные процессы, порождаемые основным приложением Serv-U, что в конечном итоге привело к расследованию происходящего и обнаружению атак на уязвимость нулевого дня. «Активность этой группы исходит из Китая, мы наблюдали как _

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!