SolarWinds Serv-U Zero-Day (CVE-2021-35211) Erkennung
Inhaltsverzeichnis:
Eine kritische Zero-Day-Schwachstelle (CVE-2021-35211), die in SolarWinds Serv-U Managed File Transfer Server und Serv-U Secured FTP Produkten existiert, wurde wiederholt in freier Wildbahn von einem chinesisch unterstützten Hacker-Kollektiv ausgenutzt, wie Microsoft enthüllt. Die Schwachstelle bietet Angreifern die Möglichkeit, beliebigen Code aus der Ferne auszuführen und das vollständige System zu kompromittieren.
CVE-2021-35211 Beschreibung
Laut SolarWinds-Beratungist CVE-2021-35211 ein Fernzugriffs-Codeausführungsproblem, das Serv-U Version 15.2.3 HF1 und früher betrifft. Bei erfolgreicher Ausnutzung können Hacker beliebigen Code mit hohen Privilegien ausführen, um bösartige Software zu hinterlegen, sensible Daten zu ändern oder zu stehlen und auf vertrauliche Informationen zuzugreifen.
Bemerkenswerterweise ist die Ausnutzung begrenzt und nur möglich, wenn SSH in der Serv-U-Umgebung aktiviert ist. Darüber hinaus stellt SolarWinds fest, dass dieses Zero-Day-Problem nur Serv-U Managed File Transfer und Serv-U Secure FTP betrifft. Alle anderen SolarWinds- oder N-able-Produkte gelten als sicher. Keine Verbindungen zum SUNBURST-Lieferketten-Angriff wurden beobachtet.
Microsoft meldete das Problem Mitte Juli 2021 an SolarWinds, nachdem sein Threat Intelligence Center (MSTIC) und Offensive Security Research Teams eine Reihe hochgradig gezielter Angriffe entdeckt hatten, die die Schwachstelle in freier Wildbahn ausnutzten. Das Proof-of-Concept-Exploit wurde ebenfalls an den Anbieter übergeben, jedoch sind derzeit keine PoCs im Web verfügbar.
Laut der detaillierten Untersuchung von Microsoftwurde der Fehler von einer China-affiliierten Gruppe ausgenutzt, die derzeit von MSTIC als DEV-0322 verfolgt wird. Dieser Akteur wurde mit mehreren Operationen gegen den US Defense Industrial Base Sector und mehrere Softwareunternehmen in Verbindung gebracht. Die Aktivität dieses Hacker-Kollektivs ist beeindruckend verdeckt. Die einzigen öffentlich geteilten Details von Forschern zeigen, dass DEV-0322 auf kommerzielle VPNs und anfällige Heimrouter angewiesen ist, um seine Infrastruktur aufrechtzuerhalten.
SolarWinds Serv-U Zero-Day-Erkennung und -Abminderung
Unmittelbar nachdem das Problem dem Anbieter gemeldet wurde, veröffentlichte SolarWinds einen Hotfix für Serv-U Version 15.2.3 HF1. Jetzt ist die Schwachstelle mit der Veröffentlichung von Version 15.2.3 HF2 vollständig behoben. Benutzer werden dringend aufgefordert, auf die neueste sichere Version ASAP zu aktualisieren, auch wenn SSH in der Serv-U-Umgebung deaktiviert ist.
Um die mit CVE-2021-35211 verbundene bösartige Aktivität zu erkennen und Organisationen proaktiv gegen mögliche Angriffe zu verteidigen, hat das SOC Prime Team zusammen mit Florian Roth eine Reihe von Sigma-Regeln veröffentlicht. Dieser SOC-Inhalt kann direkt vom Threat Detection Marketplace über diesen Link kostenlos heruntergeladen werden: https://tdm.socprime.com/detections/?tagsCustom[]=ServU
Bedrohungsakteur IOCs, die SolarWinds Serv-U Software mit 0-Tage-Exploit (CVE-2021-35211) anvisieren
Diese Regel, geschrieben vom SOC Prime Team, erkennt IPs, die bei der Ausnutzung von SolarWinds Serv-U-Diensten verwendet werden und hat Übersetzungen in die folgenden Sprachformate:
SIEM & SICHERHEITSANALYTIK: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Taktiken: Ersteigung des Zugangs
Techniken: Öffentliche Anwendungs-Schwachstelle ausnutzen (T1190)
Bedrohungsakteur Kommandozeilen-IOCs, die SolarWinds Serv-U Software mit 0-Tage-Exploit (CVE-2021-35211) anvisieren
Diese Regel, ebenfalls entwickelt vom SOC Prime Team, erkennt Kommandozeilen, die bei der Ausnutzung des Fehlers verwendet werden. Sie hat Übersetzungen in die folgenden Sprachformate:
SIEM & SICHERHEITSANALYTIK: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Taktiken: Ersteigung des Zugangs
Techniken: Öffentliche Anwendungs-Schwachstelle ausnutzen (T1190)
Serv-U Ausnutzung CVE-2021-35211 durch Dev-0322
Diese Sigma verhaltensbasierte Erkennung aus dem GitHub-Repo, das von Florian Roth besitzt wird, erkennt Muster, wie sie bei der Ausnutzung der Serv-U CVE-2021-35211 Schwachstelle durch die Bedrohungsgruppe DEV-0322 bemerkt wurden. Die Übersetzungen sind für die folgenden Sprachformate verfügbar.
SIEM & SICHERHEITSANALYTIK: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Taktiken: Persistenz
Techniken: Konto erstellen (T1136)
Verdächtiges Serv-U Prozessmuster
Diese Regel, auch bereitgestellt von Florian Roth, erkennt ein verdächtiges Prozessmuster, das ein Zeichen für einen ausgebeuteten Serv-U-Dienst sein könnte. Es hat Übersetzungen in die folgenden Sprachformate:
SIEM & SICHERHEITSANALYTIK: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, SentinelOne
Melden Sie sich beim Threat Detection Marketplace an, um Zugang zu über 100.000 qualifizierten, plattform- und toolübergreifenden Erkennungsregeln zu erhalten, die auf mehr als 20 marktführende SIEM-, EDR-, NTDR- und XDR-Technologien zugeschnitten sind. Begeistert, an Bedrohungsjagdaktivitäten teilzunehmen und unsere Bibliothek mit neuen Sigma-Regeln zu bereichern und zur Weltzinsorgemeinschaft beizutragen? Treten Sie unserem Threat Bounty Program für eine sichere Zukunft bei!
