Vulnerabilidad de día cero de SolarWinds

Después de ser blanco de un ataque masivo a la cadena de suministro a fines de 2020, SolarWinds emitió nuevas correcciones para remediar una vulnerabilidad de ejecución remota de código en el servicio de transferencia de archivos controlado por Serv-U, según The Hacker News.

Las actualizaciones abordan los protocolos Serv-U Managed File Transfer y Serv-U Secure FTP y están disponibles después de que Microsoft identificara la vulnerabilidad. Aún no se sabe quién es el actor de la amenaza detrás del exploit, ni cómo se llevó a cabo el ataque, aunque las vulnerabilidades se estaban utilizando en la naturaleza durante algún tiempo.

La explotación exitosa de la debilidad (CVE-2021-35211) puede permitir que un atacante elimine, lea o altere datos confidenciales e instale programas maliciosos en el sistema afectado. Tanto las conexiones SSH de las direcciones IP 98.176.196.89 y 68.235.178.32 como las conexiones TCP en el puerto 443 a la dirección IP 208.113.35.58 son factores que podrían indicar un compromiso. Para evitar una infracción, los usuarios afectados deben deshabilitar el acceso SSH en la instalación de Serv-U.

La última actividad de explotación no parece estar relacionada con la infracción del año pasado.

El aviso de SolarWinds dice: "Microsoft ha proporcionado evidencia de un impacto limitado y específico en el cliente, aunque SolarWinds no tiene actualmente una estimación de cuántos clientes pueden verse afectados directamente por la vulnerabilidad".

El gobierno de EE. UU. Cree que los piratas informáticos están vinculados al Servicio de Inteligencia Exterior de Rusia, conocido como SVR.Según informes, SVR ha llevado a cabo ataques de malware contra think tanks políticos, gobiernos y otras organizaciones en naciones como Estados Unidos, Corea del Sur, Uzbekistán, Alemania, entre otros. En 2014, el Departamento de Estado de Estados Unidos y la Casa Blanca estaban entre los objetivos.

Se estima que al obtener acceso no autorizado al producto de gestión de red Orion de SolarWinds, unos 18.000 clientes se vieron afectados. Hasta ahora, se sabe que alrededor de 110 clientes también fueron blanco de un ataque de seguimiento que exfiltró datos confidenciales a través del malware Sunburst. SolarWinds afirmó que la actividad actual de explotación no parece estar conectada.

Semrush sigue a tu competencia

Fecha actualización el 2021-07-15. Fecha publicación el 2021-07-15. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: softpedia