Eine neue kritische SolarWinds Zero-Day-Schwachstelle wird aktiv angegriffen

  • SolarWinds, das texanische Unternehmen, das Ende letzten Jahres zum Epizentrum eines massiven Angriffs auf die Lieferkette wurde, hat Patches herausgegeben, um eine Schwachstelle in seinem Produkt Serv-U zu beheben, die Remotecodeausführung ermöglicht.

    Die Patches, die auf die Produkte Serv-U Managed File Transfer und Serv-U Secure FTP abzielen, wurden veröffentlicht, nachdem Microsoft den Hersteller von IT-Management- und Fernüberwachungssoftware benachrichtigt hatte, dass die Schwachstelle in freier Wildbahn ausgenutzt wird. Der Bedrohungsakteur, der hinter der Ausnutzung steht, ist noch nicht bekannt, und es ist nicht klar, wie der Angriff genau durchgeführt wurde.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    “Microsoft hat Beweise für eine begrenzte, gezielte Auswirkung auf Kunden geliefert, obwohl SolarWinds derzeit keine Schätzung hat, wie viele Kunden direkt von der Schwachstelle betroffen sein könnten”, sagte SolarWinds in einem am Freitag veröffentlichten Advisory und fügte hinzu, dass es “die Identität der potenziell betroffenen Kunden nicht kennt.”

    Betroffen sind Serv-U Version 15.2.3 HF1 und früher. Eine erfolgreiche Ausnutzung der Lücke (CVE-2021-35211) könnte es einem Angreifer ermöglichen, beliebigen Code auf dem infizierten System auszuführen, einschließlich der Möglichkeit, bösartige Programme zu installieren und sensible Daten einzusehen, zu ändern oder zu löschen.

    Als Indikatoren für eine Kompromittierung fordert das Unternehmen Administratoren dringend auf, auf potenziell verdächtige Verbindungen über SSH von den IP-Adressen 98[.]176.196.89 und 68[.]235.178.32, oder über TCP 443 von der IP-Adresse 208[.]113.35.58. Das Deaktivieren des SSH-Zugriffs auf der Serv-U-Installation verhindert ebenfalls eine Kompromittierung.

    Das Problem wurde in Serv-U Version 15.2.3 Hotfix (HF) 2 behoben.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    SolarWinds betonte in seinem Advisory außerdem, dass die Schwachstelle “in keinem Zusammenhang mit dem Angriff auf die SUNBURST-Lieferkette steht” und dass andere Produkte nicht betroffen sind, insbesondere nicht die Orion-Plattform, die von mutmaßlichen russischen Hackern ausgenutzt wurde, um Malware abzuwerfen und tiefer in die anvisierten Netzwerke einzudringen, um mehrere Bundesbehörden und Unternehmen in einer der schwersten Sicherheitsverletzungen in der Geschichte der USA auszuspionieren.

    Eine Reihe von Angriffen auf die Software-Lieferkette hat seitdem die Anfälligkeit moderner Netzwerke und die Raffinesse von Bedrohungsakteuren verdeutlicht, die schwer zu findende Schwachstellen in weit verbreiteter Software ausfindig machen, um Spionage zu betreiben und Ransomware abzuwerfen, bei der Hacker die Systeme von Unternehmen herunterfahren und eine Zahlung verlangen, damit sie die Kontrolle wiedererlangen können.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com