SolarWinds пуска съвети за сигурност, след като Microsoft казва, че клиентите са „насочени“ чрез уязвимост

SolarWinds пуснати актуализации за техните Serv-U управлявани прехвърляне на файлове и Serv-U Secure FTP инструменти този уикенд, след като бяха уведомени за уязвимост от Microsoft.

В съобщение, изпратено в петък и актуализирано в събота, SolarWinds заяви, че Microsoft “съобщава на SolarWinds, че е открил уязвимост за отдалечено изпълнение на код в продукта SolarWinds Serv-U”. SolarWinds добави, че Serv-U шлюзът е компонент на инструментите за управляван файл Serv-U и Serv-U Secure FTP и не е отделен продукт.

Уязвимостта може да бъде намерена в последната версия на Serv-U 15.2.3 HF1, издадена на 5 май 2021 г., и всички предишни версии. Microsoft предостави на компанията доказателство за концепцията за експлоата и каза, че поне един участник в заплахата вече го е използвал.

“Актьорът на заплаха, който успешно е използвал тази уязвимост, може да изпълнява произволен код с привилегии. След това нападателят може да инсталира програми; да преглежда, променя или изтрива данни; или да стартира програми в засегнатата система”, казва консултантът.

“Microsoft предостави доказателства за ограничено, целенасочено въздействие върху клиентите, въпреки че понастоящем SolarWinds няма прогноза за броя на клиентите, които могат да бъдат пряко засегнати от уязвимостта. SolarWinds не знае за самоличността на потенциално засегнатите клиенти.”

Разработена е и е пусната актуална корекция – Serv-U версия 15.2.3 актуална корекция (HF) 2.

SolarWinds заяви, че клиентите на продукта трябва да влязат в своите клиентски портали за достъп до актуализации.

За тези, които не поддържат активна поддръжка и в момента използват продукт Serv-U, компанията заяви, че предлага помощ за обслужване на клиенти.

За да провери дали сте били компрометирани чрез тази уязвимост, SolarWinds изброи редица предложения и въпроси, които администраторите трябва да зададат.

“Вашата среда хвърля изключения? Тази атака е атака с връщане на ориентирано програмиране (ROP). Когато се използва, уязвимостта кара продукта Serv-U да хвърли изключение и след това прихваща кода за обработка на изключения за изпълнение на команди. Моля, обърнете внимание, няколко причини съществуват, за да бъдат хвърлени изключения, така че самото изключение не е непременно показател за атака “, каза SolarWinds.

“Моля, съберете регистрационния файл DebugSocketlog.txt. В регистрационния файл DebugSocketlog.txt може да видите изключение, като например: 07]Вторник 01Jun21 02:42:58 – ИЗКЛЮЧЕНИЕ: C0000005; CSUSSHSocket :: ProcessReceive (); Тип: 30 ; puchPayLoad = 0x041ec066; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5, “добави компанията, отбелязвайки, че изключения” могат да бъдат изхвърлени по други причини, така че, моля, съберете дневниците, за да помогнете при определянето на вашата ситуация. “

SolarWinds добави, че администраторите трябва да търсят „връзки чрез SSH от следните IP адреси, които са докладвани като потенциален индикатор за атака от страна на актора на заплахата: 98.176.196.89 68.235.178.32 или, да търсят връзки чрез TCP 443 от следния IP адрес: 208.113.35.58. “

Уязвимостите на SolarWinds бяха насочени многократно през последната година и компанията привлече заглавия през декември, когато руските правителствени хакери компрометираха мрежата си и внедриха злонамерени актуализации на SolarWinds Orion за клиенти, които съдържаха бекдор, наречен Sunburst.

През март беше разкрито, че китайските правителствени хакери предприемат поредната атака срещу сървър на SolarWinds.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com