[ad_1]
SolarWinds, l’entreprise au centre d’une attaque de chaîne d’approvisionnement qui a compromis neuf agences américaines et 100 entreprises privées, se démène pour contenir une nouvelle menace de sécurité : une vulnérabilité critique du jour zéro dans sa gamme de produits Serv-U.
Microsoft a découvert les exploits et les a signalés en privé à SolarWinds, a déclaré cette dernière société dans un avis publié vendredi. SolarWinds a déclaré que les attaques n’avaient aucun lien avec l’attaque de la chaîne d’approvisionnement découverte en décembre.
« Microsoft a fourni des preuves d’un impact client limité et ciblé, bien que SolarWinds n’ait pas actuellement d’estimation du nombre de clients pouvant être directement affectés par la vulnérabilité », ont écrit les responsables de l’entreprise. « SolarWinds n’a pas connaissance de l’identité des clients potentiellement concernés. »
Seuls SolarWinds Serv-U Managed File Transfer et Serv-U Secure FTP – et par extension la passerelle Serv-U, qui est un composant de ces deux produits – sont affectés par cette vulnérabilité, qui permet aux attaquants d’exécuter à distance du code malveillant sur des systèmes vulnérables .
S’il est exploité, un attaquant peut obtenir un accès privilégié aux machines hébergeant les produits Serv-U. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou exécuter des programmes sur le système affecté. La vulnérabilité existe dans la dernière version de Serv-U 15.2.3 HF1, publiée le 5 mai, et toutes les versions antérieures.
SolarWinds a publié un correctif pour atténuer les attaques pendant que la société travaille sur une solution permanente. Les personnes exécutant la version 15.2.3 HF1 de Serv-U doivent appliquer le correctif (HF) 2 ; ceux qui utilisent Serv-U 15.2.3 doivent appliquer Serv-U 15.2.3 HF1, puis appliquer Serv-U 15.2.3 HF2 ; et ceux exécutant des versions Serv-U antérieures à 15.2.3 doivent passer à Serv-U 15.2.3, puis appliquer Serv-U 15.2.3 HF1, puis appliquer Serv-U 15.2.3 HF2. La société recommande aux clients d’installer les correctifs immédiatement.
Les correctifs sont disponibles ici. La désactivation de l’accès SSH empêche également l’exploitation.
Le gouvernement fédéral a attribué l’attaque de la chaîne d’approvisionnement de l’année dernière à des pirates informatiques travaillant pour le FSB russe, le successeur du KGB, qui a effectué du piratage informatique axé sur l’espionnage pendant des décennies. Cette campagne a exploité les vulnérabilités du réseau SolarWinds pour prendre le contrôle du système de création de logiciels de la société basée à Austin, au Texas.
Les pirates ont utilisé cet accès pour envoyer une mise à jour de logiciel malveillant à environ 18 000 clients du produit de gestion de réseau Orion de SolarWinds. Parmi ces clients, environ 110 ont reçu une attaque de suivi qui a installé une charge utile de stade ultérieur qui a exfiltré des données propriétaires. Le malware installé dans la campagne d’attaque est connu sous le nom de Sunburst. Encore une fois, SolarWinds a déclaré que les exploits en cours n’avaient désormais aucun lien.
À la fin de l’année dernière, les vulnérabilités zero-day du produit Orion de SolarWinds ont été exploitées par un autre groupe d’attaquants que les chercheurs ont liés au gouvernement chinois. Ces attaquants ont installé des logiciels malveillants que les chercheurs appellent SuperNova. Des acteurs menaçants liés à la Chine ont également ciblé SolarWinds. Au moins une agence gouvernementale américaine a été ciblée dans cette opération.
[ad_2]