Η Microsoft αποκάλυψε την Τρίτη ότι Κινέζοι hackers, γνωστοί ως DEV-0322, εκμεταλλεύονται μια zero-day ευπάθεια στο SolarWinds Serv-U FTP server, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE). Οι Κινέζοι hackers χρησιμοποιούν την ευπάθεια της SolarWinds για να στοχεύσουν αμερικανικές επιχειρήσεις στον τομέα της άμυνας.
Δείτε επίσης: Microsoft Patch Tuesday Ιουλίου 2021: Διορθώνει 117 ευπάθειες
Η SolarWinds εξέδωσε, πριν μερικές ημέρες, διορθώσεις για το εν λόγω zero-day σφάλμα, το οποίο επιτρέπει σε έναν επιτιθέμενο να εκτελέσει κώδικα στα ευάλωτα συστήματα. Αυτό σημαίνει ότι μπορεί να εγκαταστήσει και να εκτελέσει κακόβουλα payloads ή να δει και να τροποποιήσει ευαίσθητα δεδομένα.
Η zero-day ευπάθεια στο SolarWinds Serv-U FTP server έχει καταχωρηθεί ως CVE-2021-35211 και επιτρέπει την εκτέλεση κώδικα όταν το πρωτόκολλο Secure Shell (SSH) του Serv-U είναι ενεργοποιημένο. Ενώ είχε προηγουμένως αποκαλυφθεί ότι οι επιθέσεις ήταν περιορισμένης εμβέλειας, η SolarWinds είπε ότι “αγνοεί την ταυτότητα των δυνητικά επηρεασμένων πελατών“.
Δείτε επίσης: Ε.Ε.: Παραβιάστηκαν 6 από τους 14 οργανισμούς που χρησιμοποιούν το SolarWinds Orion
Το Microsoft Threat Intelligence Center (MSTIC) δηλώνει με αρκετή βεβαιότητα ότι οι επιθέσεις μέσω της ευπάθειας SolarWinds, προέρχονται από την κινεζική hacking ομάδα DEV-0322 (συντομογραφία για το “Development Group 0322”), με βάση τα θύματα και τις τακτικές που έχουν παρατηρηθεί. Οι ερευνητές διαπίστωσαν οι Κινέζοι hackers έχουν στοχεύσει αμερικανικές επιχειρήσεις στον τομέα της άμυνας και software εταιρείες.
Δείτε επίσης: Ηνωμένο Βασίλειο, Καναδάς, Ε.Ε. και ΝΑΤΟ κατηγορούν τη Ρωσία για το SolarWinds hack
“Αυτή η ομάδα εδρεύει στην Κίνα και έχει παρατηρηθεί ότι χρησιμοποιεί εμπορικές λύσεις VPN“, σύμφωνα με το MSTIC, το οποίο ανακάλυψε τη zero-day ευπάθεια αφότου εντόπισε έως και έξι κακόβουλες διαδικασίες από το main Serv-U process.
Είναι η δεύτερη φορά που Κινέζοι hackers εκμεταλλεύεται ευπάθειες λογισμικού της SolarWinds για να στοχεύσουν εταιρικά δίκτυα.
Περισσότερες λεπτομέρειες σχετικά με την ευπάθεια της SolarWinds και τους δείκτες παραβίασης, μπορείτε να βρείτε εδώ.
Πηγή: The Hacker News
