Vulnerabilità Zero-Day di SolarWinds sotto attacco attivo

È stata sfruttata una vulnerabilità RCE nel servizio di trasferimento file gestito Serv-U fornito da SolarWinds. L’azienda SolarWinds, precedentemente presa di mira tramite un attacco alla catena di approvvigionamento, ha emesso patch per correggere il difetto.

Cos’è successo?

Microsoft ha presentato testimonianze di clienti limitati e mirati interessati dal difetto zero-day tracciato come CVE-2021-35211. Tuttavia, SolarWinds non dispone della stima esatta di quanti clienti potrebbero essere interessati dalla vulnerabilità.

  • Il difetto interessa Serv-U versione 15.2.3 HF1 e precedenti. Il corretto sfruttamento di questa vulnerabilità consente agli aggressori di eseguire codice arbitrario sul sistema infetto.
  • Inoltre, la vulnerabilità consente agli aggressori di installare programmi dannosi e visualizzare, modificare o eliminare dati importanti. Tuttavia, il difetto è risolto nell’hotfix Serv-U versione 15.2.3 (HF) 2.
  • L’azienda chiede agli amministratori di prestare attenzione a eventuali connessioni potenzialmente sospette tramite SSH dagli indirizzi IP 98[.]176[.]196[.]89 e 68[.]235[.]178[.]32 o 208[. ]113[.]35[.]58 tramite TCP 443.
  • SolarWinds ha dichiarato nel suo recente avviso che lo zero-day trovato non è in alcun modo correlato all’attacco alla catena di approvvigionamento SUNBURST. Inoltre, non influisce su nessun altro prodotto, in particolare sulla piattaforma Orion.

Recenti attacchi alla catena di approvvigionamento

Sono emersi diversi incidenti in cui sono stati eseguiti attacchi alla catena di approvvigionamento.  

  • Recentemente, Kaseya è stata presa di mira dal ransomware REvil in un attacco alla catena di approvvigionamento, prendendo di mira vulnerabilità di sicurezza critiche (CVE-2021-30116 19 20) nella sua soluzione Virtual System Administrator.
  • A giugno, un monumentale attacco alla catena di approvvigionamento dell’industria aeronautica è stato collegato all’attore nazionale cinese APT41.
  • A maggio, Canada Post ha subito un incidente di violazione dei dati che ha avuto un impatto su 950.000 dei suoi clienti. La violazione della sicurezza si è verificata a causa di un attacco alla catena di fornitura basato su malware.

Conclusione

I recenti attacchi alla catena di approvvigionamento evidenziano la vulnerabilità delle reti e delle catene di approvvigionamento moderne. Gli aggressori identificano sempre più vulnerabilità nelle catene di software ampiamente utilizzate per distribuire software dannoso. Pertanto, si suggerisce alle organizzazioni di seguire le raccomandazioni fornite dalle agenzie di sicurezza e di continuare a rivedere la propria posizione in materia di sicurezza informatica a intervalli regolari.