Ранее на этой неделе разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что проблему уже эксплуатируют хакеры. По информации компании, уязвимость использовалась лишь одним злоумышленником в атаках, нацеленных на ограниченное количество жертв.
Данная уязвимость представляет угрозу только для Serv-U Managed File Transfer и Serv-U Secure FTP. Уязвимыми считаются все версии Serv-U вплоть до обновленной 15.2.3 HF2, выпущенной несколько дней назад и содержащей исправление.
Исходно баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов SolarWinds, и теперь компания поделилась деталями о своей находке.
Специалисты Microsoft рассказали, что уязвимость в Serv-U эксплуатируют китайские хакеры, применяя ее для атак на оборонные и софтверные компании в США. Данную хак-группу компания отслеживает под идентификатором DEV-0322.
Сообщается, что угрозу обнаружили благодаря тому, что антивирус Defender стал замечать вредоносные процессы, порождаемые основным приложением Serv-U, что в конечном итоге привело к расследованию происходящего и обнаружению атак на уязвимость нулевого дня.
«Активность этой группы исходит из Китая, мы наблюдали как [злоумышленники] использую коммерческие VPN-решения и взломанные потребительские маршрутизаторы в своей инфраструктуре», — пишут эксперты.
В Microsoft говорят, что пользователи Serv-U могут проверить свои устройства на компрометацию, просмотрев файл журнала Serv-U (DebugSocketLog.txt) и выполнив поиск exception-сообщений. В частности, «C0000005; CSUSSHSocket::ProcessReceive» может указывать на то, что злоумышленники пытались взломать Serv-U, хотя исключение может отображаться и по другим причинам.
Другими признаками компрометации были названы:
- недавно созданные файлы .txt в папке Client\Common\;
- Serv-U порождает процессы для mshta.exe, powershell.exe, cmd.exe и процессы, запущенные из C:\Windows\temp;
- нераспознанные глобальные пользователи в конфигурации Serv-U.
К сожалению, по данным Censys , в настоящее время в сети доступны более 8200 систем SolarWinds Serv-U с открытым SSH-портом, и их количество остается неизменным с прошлой недели, когда были выпущены патчи.
