La actividad de ataque dirigida aumenta la necesidad de organizaciones. …



Un actor de amenazas con sede en China, observado anteriormente apuntando a organizaciones de base industrial de defensa y compañías de software package de EE. UU., Está explotando el mistake en el software program Serv-U de SolarWinds, dice Microsoft.

Las organizaciones que aún no se han parcheado contra una vulnerabilidad crítica de ejecución remota de código revelada esta semana en la tecnología de transferencia de archivos Serv-U de SolarWinds para Home windows podrían querer hacerlo rápidamente.

Microsoft, que informó a SolarWinds sobre la falla, informó el martes que había observado a un probable actor de amenazas con sede en China que usaba un exploit de día cero en ataques limitados y dirigidos contra la vulnerabilidad (CVE-2021-35211).

En la actualidad, Microsoft está rastreando al atacante como DEV-0322, un grupo que opera fuera de China y que previamente ha observado que apunta a organizaciones en la industria del software y el sector de base industrial de defensa de EE. UU. El grupo ha utilizado tecnologías VPN comerciales y enrutadores de consumidores comprometidos en actividades de ataque anteriores, dijo la compañía.

«Instamos encarecidamente a todos los clientes a actualizar sus instancias de Serv-U a la última versión disponible», escribió Microsoft en un entrada en el website ayer.

CVE-2021-35211 es una vulnerabilidad de escape de memoria en SolarWinds Serv-U Managed File Transfer y Serv-U Protected FTP para Home windows. La tecnología está diseñada para brindar a las organizaciones una forma de transferir archivos de manera segura dentro y fuera de sus redes.

La vulnerabilidad recién descubierta proviene de la implementación de SolarWinds del protocolo SSH en Serv-U. Ofrece a los atacantes una forma de acceder de forma remota y ejecutar código malicioso con privilegios de nivel de sistema en sistemas vulnerables. Los atacantes pueden aprovechar la falla para instalar y ejecutar cargas útiles maliciosas, eliminar malware adicional y ver o cambiar datos. Sin embargo, la falla solo se puede explotar en sistemas donde el SSH de Serv-U está expuesto a World-wide-web.

Microsoft dice que descubrió el problema al investigar lo que parecía ser un comportamiento de ataque de día cero en los datos que recopila de las redes de los clientes. «Se encontró que se estaba generando un proceso malicioso anómalo a partir del proceso Serv-U, lo que sugiere que se había comprometido».

SolarWinds emitió un revisión por la vulnerabilidad después de que Microsoft informara a la compañía al respecto. En una alerta y preguntas frecuentes posteriores, que se actualizaron por última vez el martes, la compañía dijo que Microsoft le había proporcionado evidencia de «impacto limitado y específico en el cliente». Sin embargo, SolarWinds no conoce la identidad de los clientes que se han visto afectados, dijo la compañía. Junto con la revisión, SolarWinds ha proporcionado instrucciones sobre cómo los clientes de Serv-U pueden identificar si se han visto comprometidos. «Si SSH no está habilitado en el entorno, la vulnerabilidad no existe», dijo SolarWinds.

La vulnerabilidad recientemente revelada en Serv-U no está relacionada con el infame ataque revelado en diciembre pasado en el entorno de construcción de software program de SolarWinds que resultó en una puerta trasera llamada Sunburst que se distribuyó a miles de clientes del software package de administración de red Orion de la compañía. Pero es la tercera vez, incluida la campaña de ataque Sunburst, que se ha observado que los actores de amenazas explotan vulnerabilidades en las tecnologías de SolarWinds.

A fines de febrero y marzo, los investigadores que investigaban el hack de Sunburst descubrieron que un grupo chino también podría haber estado explotando activamente problemas en la plataforma Orion aproximadamente al mismo tiempo que el grupo con sede en Rusia detrás del ataque Sunburst lo estaba explotando.

Una tendencia creciente
Los ataques a SolarWinds son parte de lo que los investigadores de seguridad dicen es un enfoque creciente en la cadena de suministro de application entre los ciberatacantes. En los últimos meses, ha habido varios casos en los que los atacantes han intentado distribuir malware o comprometer a muchas organizaciones a la vez, apuntando a sus proveedores de software package y servicios de confianza. Un reciente ataque a Kaseya que resultó en ransomware que se distribuye a varios proveedores de servicios gestionados es el ejemplo más reciente.

Sounil Yu, CISO de JupiterOne, dice que la tendencia destaca la necesidad de renovar los procesos de investigación de software package de terceros. «Actualmente, el estándar de práctica es enviar a los proveedores cuestionarios largos y ocasionalmente pedir evidencia asociada con sus respuestas», dice. «Confiamos en que esas respuestas son precisas y que el proveedor realmente está realizando las actividades de seguridad que atestigua», dice Yu. En el futuro, podría ser una buena notion asegurarse de que los proveedores externos implementen el mismo tipo de enfoque de seguridad cero al que hizo referencia el presidente Biden en su orden ejecutiva de ciberseguridad para las agencias federales a principios de este año, señala Yu.

La seguridad de la cadena de suministro seguirá siendo un tema clave para que la empresa avance, dice Jack Mannino, CEO de nVisium. Además de las técnicas tradicionales de prueba de seguridad de program, como revisiones de código y pruebas de penetración, sería una buena thought que las empresas comprendan cómo se comporta el software a través de revisiones de códigos maliciosos, dice. «Este tipo de pruebas exploran la probabilidad de que el computer software contenga malware incrustado», agrega, «a través de confirmaciones de código malicioso o por dependencias de terceros comprometidas».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial