Microsoft compartió los detalles técnicos de una vulnerabilidad de seguridad crítica ahora reparada y explotada activamente que afecta al servicio de transferencia de archivos administrado SolarWinds Serv-U, que atribuye con «alta confianza» a un jugador de amenazas fuera de China.
A mediados de julio, la empresa con sede en Texas corrigió un error de ejecución remota de código (CVE-2021-35211) que estaba arraigado en la implementación de Secure Shell (SSH) de Serv-U y que los atacantes podían aprovechar para ejecutar código arbitrario. en el sistema infectado, incluida la capacidad de instalar programas maliciosos y ver, modificar o eliminar datos confidenciales.
«El servidor Serv-U SSH está expuesto a una vulnerabilidad de ejecución remota de código previa a la autenticación que puede explotarse de manera fácil y confiable de forma predeterminada», dijo el equipo de Ingeniería de Seguridad e Investigación Ofensiva de Microsoft en un registro detallado de explotación.
«Un atacante podría explotar la vulnerabilidad conectándose a un puerto SSH abierto y enviando una solicitud de conexión de autenticación previa mal formada. Si se explota con éxito, una vulnerabilidad podría permitir que un atacante instale o ejecute programas, como se informó anteriormente», agregaron los científicos.
Si bien Microsoft vinculó los ataques con DEV-0322, un equipo chino que citó «victimología, tácticas y prácticas observadas», la compañía ahora reveló que las vulnerabilidades de autenticación previa remota se derivaron de la forma en que el proceso Serv-U manejó el acceso. violaciones sin terminar el proceso, facilitando así los intentos sigilosos y confiables de abuso.
«La vulnerabilidad explotada fue causada por cómo Serv-U creó originalmente el contexto OpenSSL AES128-CTR», dijeron los investigadores. «Esto, a su vez, podría permitir que los datos no inicializados se utilicen como punteros de función durante el descifrado de mensajes SSH consecutivos».
Por lo tanto, un atacante podría explotar la vulnerabilidad conectándose a un puerto SSH abierto y enviando una solicitud de conexión de autenticación previa con formato incorrecto, lo que facilitaría la explotación”, agregaron los investigadores.
ASLR se refiere a un mecanismo de protección que se utiliza para aumentar la dificultad de realizar un ataque de desbordamiento de búfer mediante la disposición aleatoria de posiciones en el espacio de direcciones donde los ejecutables del sistema se cargan en la memoria.
Microsoft, que informó la vulnerabilidad a SolarWinds, dijo que recomendó habilitar la compatibilidad ASLR para todos los archivos binarios cargados en el proceso Serv-U. AS ASLR es una mitigación de seguridad crítica para los servicios que están expuestos a entradas remotas no confiables y requiere que todos los binarios en el proceso sean compatibles para evitar de manera efectiva que los atacantes usen direcciones codificadas en sus exploits, como fue posible en Serv-AT. «, dijeron los investigadores.
Las divulgaciones destacan varias técnicas y herramientas que los actores de amenazas utilizan para interrumpir las redes corporativas, incluido el uso de software legítimo.
Aunque los ataques a la cadena de suministro de SolarWinds se dirigieron formalmente a los piratas informáticos rusos APT29, Microsoft reveló en diciembre de 2020 que un grupo de espionaje independiente podría usar el software Orion, proveedor de infraestructura de TI, para lanzar una puerta trasera persistente llamada Supernova en los sistemas infectados. Secureworks, una empresa de ciberseguridad, ha vinculado estas intrusiones con un actor de amenazas relacionado con China llamado Spiral.
