Nova vulnerabilidade em produtos da SolarWinds

Sheila Zabeu -

Julho 13, 2021

Em um comunicado emitido no final da semana passada, a SolarWinds informa ter sido notificada pela Microsoft sobre uma vulnerabilidade zero-day relacionada aos produtos ao Serv-U Managed File Transfer Server  e ao Serv-U Secured FTP –  e, por extensão, também ao Serv-U Gateway, que é componente dos dois produtos. A falha foi explorada por um único agente ameaçador para atacar um conjunto limitado de clientes.

Segundo o alerta, o agente seria capaz de executar remotamente código arbitrário com privilégios, podendo instalar programas e visualizar, alterar ou excluir dados em sistemas vulneráveis.

A SolarWinds afirmou que os ataques foram revelados por equipes da Microsoft, que perceberam os ataques sendo realizados a partir da execução remota de código no SolarWinds Serv-U. Além disso, a Microsoft apresentou uma prova de conceito da invasão junto com evidências dos ataques zero-day.

A vulnerabilidade afeta o produto Serv-U versão 15.2.3 HF1 mais recente, lançado em 5 de maio de 2021, e todas as versões anteriores. Um hotfix já está disponível (o Serv-U 15.2.3 HF2). Consulte a tabela de atualizações de segurança abaixo para obter a atualização aplicável ao seu sistema. A empresa recomenda que os clientes instalem essas atualizações imediatamente.

Fonte: SolarWinds

Segundo a SolarWinds, este ataque zero-day não tem nenhuma relação com o caso Orion envolvendo a empresa no final de 2020. Atualizações adulteradas do produto Orion da SolarWinds deram início a um dos maiores ataques do tipo supply chain da história, que comprometeu diversas empresas do setor privado, mas principalmente importantes agências do governo dos Estados Unidos.

Na época, avaliou-se que 18 mil clientes fizeram o download das atualizações como sendo genuínas. Quando instaladas, abria-se a porta para novos ataques e outras atividades potencialmente criminosas subsequentes, como espionagem e roubo de segredos de estado.

Como saber se o seu ambiente foi comprometido?

Segundo a SolarWinds, as etapas a seguir são etapas que podem ajudar determinar se seu ambiente foi comprometido:

  1. O SSH está habilitado para a instalação do Serv-U? Se o SSH não estiver habilitado no ambiente, a vulnerabilidade não existe.

  2. Seu ambiente está lançando exceções? Este ataque é um ataque de Programação Orientada a Retorno (ROP). Quando explorada, a vulnerabilidade faz com que o produto Serv-U lance uma exceção e, em seguida, intercepte o código de tratamento de exceção para executar comandos. Observe que existem vários motivos para as exceções serem lançadas, portanto, uma exceção em si não é necessariamente um indicador de ataque.

    Colete o arquivo de log DebugSocketlog.txt .
    No arquivo de log DebugSocketlog.txt você pode ver uma exceção, como:

    07] Ter 01Jun21 02:42:58 – EXCEÇÃO: C0000005; CSUSSHSocket ::
    ProcessReceive (); Tipo: 30; puchPayLoad = 0x041ec066; nPacketLength = 76;
    nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5


    Exceções podem ser lançadas por outros motivos, portanto , colete os logs para ajudar a determinar sua situação.

  3. Você está vendo conexões potencialmente suspeitas via SSH? Procure por conexões via SSH a partir dos seguintes endereços IP, que foram relatados como um indicador potencial de ataque pelo ator da ameaça:
    98.176.196.89
    68.235.178.32
    ou procure conexões via TCP 443 a partir do seguinte endereço IP: 208.113.35.58