В июле 2021 года Разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что эту проблему уже эксплуатируют хакеры. Баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов компании SolarWinds. Однако тогда никаких данных о самих атаках специалисты не сообщали.
Теперь Microsoft наконец поделилась деталями произошедшего. Компания заявила, что эксплуатация 0-day уязвимости была делом рук новой китайской хак-группы, которой был присвоен идентификатор DEV-0322.
Сообщается, что хакеры атаковали серверы SolarWinds Serv-U, «подключившись к открытому порту SSH и отправляя искаженный pre-auth запрос». Это позволяло операторам DEV-0322 запускать вредоносный код в целевой системе и захватывать уязвимые устройства.
К сожалению, производитель ОС по-прежнему не сообщает ничего о целях и задачах обнаруженных злоумышленников. Неясно, занимались ли хакеры кибершпионажем и сбором разведданных или преследовали финансовую выгоду.
Также Microsoft углубилась в технические детали самой уязвимости CVE-2021-35211. Исследователи подчеркнули, что одна из причин успешности атак заключалась в том, что некоторые из бинарников Serv-U не были защищены ASLR. И поскольку защита отсутствовала, эксплуатация бага в Serv-U оказалась «не такой уж сложной задачей».
