Saltar al contenido
Cosas Tecnológicas

Microsoft descubre una vulnerabilidad crítica de día cero de SolarWinds bajo ataque activo

SolarWinds estuvo en el centro de un ataque a la cadena de suministro que comprometió a 9 instituciones estadounidenses y 100 empresas privadas La compañía está trabajando para contener una nueva amenaza a la seguridad: una vulnerabilidad crítica de día cero en su línea de productos Serv-U.

Este último declaró en un informe de advertencia emitido el viernes que Microsoft descubrió estas vulnerabilidades y las informó a SolarWinds de forma privada. SolarWinds declaró que estos ataques no tienen ninguna relación con los ataques a la cadena de suministro descubiertos en diciembre del año pasado.

“Microsoft ha proporcionado pruebas limitadas del impacto en el cliente específico, aunque SolarWinds actualmente no estima cuántos clientes pueden verse afectados directamente por la vulnerabilidad”, escribieron los funcionarios de la compañía. “SolarWinds no conoce la identidad de los clientes potencialmente afectados”.

Solo la transferencia de archivos alojada en SolarWinds Serv-U y el FTP seguro Serv-U (y la puerta de enlace Serv-U, un componente de estos dos productos) se ven afectados por esta vulnerabilidad, que puede explotarse para ejecutar de forma remota código malicioso en sistemas vulnerables.

El atacante puede obtener acceso privilegiado a la máquina explotada que aloja el producto Serv-U y luego puede instalar el programa, ver, cambiar o eliminar datos o ejecutar el programa en el sistema afectado. La vulnerabilidad existe en la última versión 15.2.3 HF1 de Serv-U lanzada el 5 de mayo y en todas las versiones anteriores.

SolarWinds ha lanzado un parche para mitigar el ataque y la empresa está trabajando en una solución permanente. Las personas que ejecutan Serv-U versión 15.2.3 HF1 deben aplicar el parche (HF) 2; los usuarios que usan Serv-U 15.2.3 deben aplicar primero Serv-U 15.2.3 HF1, luego Serv-U 15.2.3 HF2; los usuarios que ejecutan Serv-U 15.2.3 deben aplicar Serv-U 15.2.3 HF1 primero -U versiones anteriores a 15.2.3 deben actualizarse a Serv-U 15.2.3, aplicar Serv-U 15.2.3 HF1 y luego aplicar Serv-U 15.2.3 HF2. La compañía declaró que los clientes deberían instalar la solución de inmediato.

El parche está disponible aquí. Deshabilitar el acceso SSH también puede prevenir exploits.

El gobierno federal culpó de los ataques a la cadena de suministro del año pasado a los piratas informáticos que trabajaban para el Servicio de Inteligencia Exterior de Rusia (SVR), que ha estado apuntando a gobiernos, grupos de expertos políticos y otras organizaciones en Alemania, Uzbekistán y otros países durante más de una década. realizar actividades de malware. , Corea del Sur y Estados Unidos. Los objetivos para 2014 incluyen el Departamento de Estado de EE. UU. Y la Casa Blanca.

Los piratas informáticos utilizaron este acceso para enviar actualizaciones de malware a aproximadamente 18.000 clientes del producto de gestión de red Orion de SolarWinds. De estos clientes, aproximadamente 110 recibieron un ataque de seguimiento que instaló una carga útil posterior que podría filtrar datos de propiedad. El malware instalado en el ataque se llama Sunburst. Una vez más, SolarWinds declaró que no hay conexión con el ataque en curso.

A fines del año pasado, las vulnerabilidades de día cero en el producto Orion de SolarWinds fueron explotadas por un grupo diferente de atacantes, y los investigadores han vinculado a estos atacantes con el gobierno chino. Estos atacantes instalaron lo que los investigadores llaman malware SuperNova. Los actores de amenazas relacionados con China también se han dirigido a SolarWinds. Al menos una agencia del gobierno de los Estados Unidos se convirtió en el objetivo de esta operación.