微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。
攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。
“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”
這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。
另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。
有關情資:
Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211