
SolarWinds, la empresa con sede en Texas que se convirtió en el epicentro de un ataque masivo a la cadena de suministro a fines del año pasado, emitió parches para contener una falla de ejecución remota de código en su servicio de transferencia de archivos administrado Serv-U.
Las correcciones, que apuntan a los productos Serv-U Managed File Transfer y Serv-U Secure FTP, llegan después de que Microsoft notificó al fabricante de software de administración de TI y monitoreo remoto que la falla estaba siendo explotada en la naturaleza. El actor de amenazas detrás de la explotación sigue siendo desconocido hasta el momento, y no está claro exactamente cómo se llevó a cabo el ataque.
«Microsoft ha proporcionado evidencia de un impacto limitado y específico para los clientes, aunque SolarWinds actualmente no tiene una estimación de cuántos clientes pueden verse directamente afectados por la vulnerabilidad», dijo SolarWinds en un aviso publicado el viernes, y agregó que «desconoce la identidad del clientes potencialmente afectados».
Al afectar las versiones 15.2.3 HF1 y anteriores de Serv-U, una explotación exitosa de la deficiencia (CVE-2021-35211) podría permitir que un adversario ejecute código arbitrario en el sistema infectado, incluida la capacidad de instalar programas maliciosos y ver, cambiar, o eliminar datos confidenciales.
Como indicadores de compromiso, la empresa insta a los administradores a estar atentos a conexiones potencialmente sospechosas a través de SSH desde las direcciones IP 98[.]176.196.89 y 68[.]235.178.32, o vía TCP 443 desde la dirección IP 208[.]113.35.58. Deshabilitar el acceso SSH en la instalación de Serv-U también evita el compromiso.
El problema se solucionó en la revisión Serv-U versión 15.2.3 (HF) 2.
SolarWinds también enfatizó en su aviso que la vulnerabilidad «no tiene ninguna relación con el ataque a la cadena de suministro SUNBURST» y que no afecta a otros productos, en particular a la Plataforma Orion, que fue explotada para lanzar malware y profundizar en las redes objetivo por presuntos rusos. piratas informáticos para espiar a múltiples agencias y empresas federales en una de las brechas de seguridad más graves en la historia de los Estados Unidos.
Una serie de ataques a la cadena de suministro de software desde entonces ha resaltado la fragilidad de las redes modernas y la sofisticación de los actores de amenazas para identificar vulnerabilidades difíciles de encontrar en el software ampliamente utilizado para realizar espionaje y lanzar ransomware, en el que los piratas informáticos cierran los sistemas de negocio y exigir el pago para permitirles recuperar el control.