SolarWinds, công ty có trụ sở tại Texas đã trở thành tâm điểm của một cuộc tấn công chuỗi cung ứng lớn vào cuối năm ngoái, đã phát hành các bản vá để chứa lỗ hổng thực thi mã từ xa trong dịch vụ truyền tệp được quản lý Serv-U của mình.
Các bản sửa lỗi, nhắm mục tiêu đến các sản phẩm Serv-U Managed File Transfer và Serv-U Secure FTP, được đưa ra sau khi Microsoft thông báo cho nhà sản xuất phần mềm quản lý CNTT và giám sát từ xa rằng lỗ hổng đang bị khai thác trên thực tế. Tác nhân đe dọa đằng sau việc khai thác vẫn chưa được biết và không rõ chính xác cuộc tấn công được thực hiện như thế nào.
“Microsoft đã cung cấp bằng chứng về tác động hạn chế, nhắm mục tiêu đến khách hàng, mặc dù SolarWinds hiện không có ước tính về số lượng khách hàng có thể bị ảnh hưởng trực tiếp bởi lỗ hổng,” SolarWinds cho biết trong một lời khuyên được công bố hôm thứ Sáu, đồng thời cho biết thêm “không biết danh tính của khách hàng có khả năng bị ảnh hưởng.”
Ảnh hưởng đến các phiên bản Serv-U 15.2.3 HF1 trở về trước, việc khai thác thành công lỗ hổng (CVE-2021-35211) có thể cho phép kẻ thù chạy mã tùy ý trên hệ thống bị nhiễm, bao gồm khả năng cài đặt các chương trình độc hại và xem, thay đổi, hoặc xóa dữ liệu nhạy cảm.
Là dấu hiệu của sự xâm phạm, công ty đang kêu gọi các quản trị viên đề phòng các kết nối đáng ngờ tiềm ẩn qua SSH từ các địa chỉ IP 98[.]176.196.89 và 68[.]235.178.32 hoặc qua TCP 443 từ địa chỉ IP 208[.]113.35.58. Vô hiệu hóa quyền truy cập SSH khi cài đặt Serv-U cũng ngăn chặn sự thỏa hiệp.
Sự cố đã được giải quyết trong Serv-U phiên bản 15.2.3 hotfix (HF) 2.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
SolarWinds cũng nhấn mạnh trong lời khuyên của mình rằng lỗ hổng “hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng SUNBURST” và nó không ảnh hưởng đến các sản phẩm khác, đặc biệt là Nền tảng Orion, đã bị khai thác để thả phần mềm độc hại và đào sâu hơn vào các mạng được nhắm mục tiêu bởi nghi phạm người Nga. tin tặc theo dõi nhiều cơ quan và doanh nghiệp liên bang trong một trong những vi phạm an ninh nghiêm trọng nhất trong lịch sử Hoa Kỳ.
Một loạt các cuộc tấn công vào chuỗi cung ứng phần mềm kể từ đó đã làm nổi bật sự mong manh của các mạng hiện đại và sự tinh vi của các tác nhân đe dọa trong việc xác định các lỗ hổng khó tìm trong phần mềm được sử dụng rộng rãi để tiến hành hoạt động gián điệp và thả ransomware, trong đó tin tặc đóng hệ thống của kinh doanh và yêu cầu thanh toán để cho phép họ giành lại quyền kiểm soát.
