Detección de día cero de SolarWinds Serv-U (CVE-2021-35211)
Tabla de contenidos:
Un fallo crítico de día cero (CVE-2021-35211) en SolarWinds Serv-U Managed File Transfer Server y productos Serv-U Secured FTP ha sido explotado repetidamente en la naturaleza por un colectivo de hackers respaldado por China, revela Microsoft. La falla permite a los actores de amenazas ejecutar código arbitrario de forma remota y comprometer completamente el sistema.
Descripción de CVE-2021-35211
Según el aviso de SolarWinds, CVE-2021-35211 es un problema de ejecución remota de código que afecta a la versión 15.2.3 HF1 de Serv-U y versiones anteriores. Tras una explotación exitosa, los hackers pueden ejecutar código arbitrario con altos privilegios para instalar software malicioso, modificar o robar datos sensibles y acceder a información confidencial.
Notablemente, la explotación está limitada y solo es posible si SSH está habilitado en el entorno Serv-U. Además, SolarWinds afirma que este problema de día cero solo afecta a Serv-U Managed File Transfer y Serv-U Secure FTP. Se considera que todos los otros productos de SolarWinds o N-able son seguros. No se han observado vínculos con el ataque a la cadena de suministro SUNBURST .
Microsoft informó del problema a SolarWinds a mediados de julio de 2021 después de que su Centro de Inteligencia contra Amenazas (MSTIC) y los equipos de Investigación de Seguridad Ofensiva descubrieran una serie de ataques altamente dirigidos que explotaban la falla en la naturaleza. El exploit de prueba de concepto también ha sido transferido al proveedor, aunque actualmente no hay PoCs disponibles en la web.
Según la detallada investigación de Microsoft, el fallo fue aprovechado por un grupo afiliado a China actualmente rastreado como DEV-0322 por MSTIC. Este actor ha estado vinculado a varias operaciones dirigidas contra el Sector de la Base Industrial de Defensa de EE. UU. y varias empresas de software. La actividad de este colectivo de hackers es impresionantemente encubierta. Los únicos detalles compartidos públicamente por investigadores revelan que DEV-0322 depende de VPN comerciales y routers domésticos vulnerables para mantener su infraestructura.
Detección y Mitigación del Día Cero de SolarWinds Serv-U
Inmediatamente después de que se informó el error al proveedor, SolarWinds lanzó un parche rápido para la versión 15.2.3 HF1 de Serv-U. Ahora, la vulnerabilidad está completamente parcheada con el lanzamiento de la versión 15.2.3 HF2. Se insta a los usuarios a actualizar a la última versión segura lo antes posible, incluso en el caso de que tengan SSH deshabilitado en el entorno Serv-U.
Para detectar la actividad maliciosa asociada con CVE-2021-35211 y ayudar a las organizaciones a defenderse proactivamente contra posibles ataques, el equipo de SOC Prime junto con Florian Roth han lanzado un conjunto de reglas Sigma. Este contenido SOC está disponible para descarga gratuita directamente desde Threat Detection Marketplace a través de este enlace: https://tdm.socprime.com/detections/?tagsCustom[]=ServU
IOCs de Actor de Amenaza que Apuntan al Software SolarWinds Serv-U con Exploit de Día Cero (CVE-2021-35211)
Esta regla, escrita por el equipo de SOC Prime, detecta IPs utilizadas en la explotación de los servicios SolarWinds Serv-U y tiene traducciones a los siguientes formatos de lenguaje:
SIEM Y ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta al Público (T1190)
IOCs de Línea de Comando del Actor de Amenaza que Apuntan al Software SolarWinds Serv-U con Exploit de Día Cero (CVE-2021-35211)
Esta regla, también desarrollada por el equipo de SOC Prime, detecta líneas de comando utilizadas en la explotación de la falla. Tiene traducciones a los siguientes formatos de lenguaje:
SIEM Y ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta al Público (T1190)
Explotación de Serv-U CVE-2021-35211 por Dev-0322
Esta detección basada en comportamientos Sigma del repositorio GitHub propiedad de Florian Roth detecta patrones observados en la explotación de la vulnerabilidad Serv-U CVE-2021-35211 por el grupo de amenazas DEV-0322. Las traducciones están disponibles para los siguientes formatos de lenguaje.
SIEM Y ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tácticas: Persistencia
Técnicas: Crear Cuenta (T1136)
Patrón Sospechoso de Proceso de Serv-U
Esta regla, también proporcionada por Florian Roth, detecta un patrón de proceso sospechoso que podría ser un signo de un servicio Serv-U explotado. Tiene traducciones a los siguientes formatos de lenguaje:
SIEM Y ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, SentinelOne
Regístrate en Threat Detection Marketplace para acceder a más de 100K reglas de detección calificadas, interproveedor e interherramienta adaptadas a más de 20 tecnologías líderes de mercado SIEM, EDR, NTDR y XDR. ¿Entusiasta por participar en actividades de caza de amenazas y enriquecer nuestra biblioteca con nuevas reglas Sigma y contribuir a la comunidad cibernética mundial? ¡Únete a nuestro Programa de Recompensas por Amenazas para un futuro más seguro!
