Una nueva vulnerabilidad crítica de día cero de SolarWinds bajo ataque activo

Vulnerabilidad de vientos solares

SolarWinds, la empresa con sede en Texas que se convirtió en el epicentro de un ataque masivo a la cadena de suministro a fines del año pasado, emitió parches para contener una falla de ejecución remota de código en su servicio de transferencia de archivos administrado Serv-U.

Las correcciones, que apuntan a los productos Serv-U Managed File Transfer y Serv-U Secure FTP, llegan después de que Microsoft notificó al fabricante de software de administración de TI y monitoreo remoto que la falla estaba siendo explotada en la naturaleza. El actor de amenazas detrás de la explotación sigue siendo desconocido hasta el momento, y no está claro exactamente cómo se llevó a cabo el ataque.

«Microsoft ha proporcionado evidencia de un impacto limitado y específico para los clientes, aunque SolarWinds actualmente no tiene una estimación de cuántos clientes pueden verse directamente afectados por la vulnerabilidad», dijo SolarWinds en un aviso publicado el viernes, y agregó que «desconoce la identidad del clientes potencialmente afectados».

Al afectar las versiones 15.2.3 HF1 y anteriores de Serv-U, una explotación exitosa de la deficiencia (CVE-2021-35211) podría permitir que un adversario ejecute código arbitrario en el sistema infectado, incluida la capacidad de instalar programas maliciosos y ver, cambiar, o eliminar datos confidenciales.

Como indicadores de compromiso, la empresa insta a los administradores a estar atentos a conexiones potencialmente sospechosas a través de SSH desde las direcciones IP 98[.]176.196.89 y 68[.]235.178.32, o vía TCP 443 desde la dirección IP 208[.]113.35.58. Deshabilitar el acceso SSH en la instalación de Serv-U también evita el compromiso.

El problema se solucionó en la revisión Serv-U versión 15.2.3 (HF) 2.

SolarWinds también enfatizó en su aviso que la vulnerabilidad «no tiene ninguna relación con el ataque a la cadena de suministro SUNBURST» y que no afecta a otros productos, en particular a la Plataforma Orion, que fue explotada para lanzar malware y profundizar en las redes objetivo por presuntos rusos. piratas informáticos para espiar a múltiples agencias y empresas federales en una de las brechas de seguridad más graves en la historia de los Estados Unidos.

Una serie de ataques a la cadena de suministro de software desde entonces ha resaltado la fragilidad de las redes modernas y la sofisticación de los actores de amenazas para identificar vulnerabilidades difíciles de encontrar en el software ampliamente utilizado para realizar espionaje y lanzar ransomware, en el que los piratas informáticos cierran los sistemas de negocio y exigir el pago para permitirles recuperar el control.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática