Détection du Zero-Day SolarWinds Serv-U (CVE-2021-35211)
Table des matières :
Une faille critique de type zero-day (CVE-2021-35211), existant dans SolarWinds Serv-U Managed File Transfer Server et Serv-U Secured FTP, a été exploitée à plusieurs reprises dans la nature par un collectif de hackers soutenu par la Chine, révèle Microsoft. La faille permet aux acteurs de la menace d’exécuter du code arbitraire à distance et de compromettre complètement le système.
Description CVE-2021-35211
Selon l’ avis de SolarWinds, CVE-2021-35211 est un problème d’exécution de code à distance qui affecte Serv-U version 15.2.3 HF1 et antérieures. Après une exploitation réussie, les hackers peuvent exécuter du code arbitraire avec des privilèges élevés pour introduire des logiciels malveillants, modifier ou voler des données sensibles, et accéder à des informations confidentielles.
Notamment, l’exploitation est limitée et possible uniquement quand SSH est activé dans l’environnement Serv-U. De plus, SolarWinds déclare que ce zero-day n’impacte que Serv-U Managed File Transfer et Serv-U Secure FTP. Tous les autres produits SolarWinds ou N-able sont considérés comme sécurisés. Aucun lien avec l’attaque par chaîne d’approvisionnement SUNBURST n’a été observé.
Microsoft a signalé le problème à SolarWinds à la mi-juillet 2021 après que son Centre d’Intelligence sur les Menaces (MSTIC) et ses équipes de Recherche en Sécurité Offensive ont découvert une série d’attaques hautement ciblées exploitant la faille dans la nature. Le concept d’exploit a également été transféré au fournisseur, mais aucun exploit PoC n’est actuellement disponible sur le web.
Selon l’ enquête approfondie de Microsoft, la faille a été exploitée par un groupe affilié à la Chine, actuellement suivi sous le nom DEV-0322 par le MSTIC. Cet acteur a été lié à plusieurs opérations ciblées contre le secteur de la Défense Industrielle des États-Unis et plusieurs entreprises de logiciels. L’activité de ce collectif de hackers est remarquablement discrète. Les seuls détails partagés publiquement par les chercheurs révèlent que DEV-0322 s’appuie sur des VPN commerciaux et des routeurs domestiques vulnérables pour maintenir son infrastructure.
Détection et Atténuation du Zero-Day SolarWinds Serv-U
Immédiatement après que la faille a été signalée au fournisseur, SolarWinds a déployé un correctif urgent pour la version 15.2.3 HF1 de Serv-U. Désormais, la vulnérabilité est entièrement corrigée avec la sortie de la version 15.2.3 HF2. Les utilisateurs sont priés de mettre à jour vers la dernière version sécurisée dès que possible, même s’ils ont désactivé SSH sur l’environnement Serv-U.
Pour détecter l’activité malveillante associée à CVE-2021-35211 et aider les organisations à se défendre de manière proactive contre d’éventuelles attaques, l’équipe de SOC Prime, en collaboration avec Florian Roth , a publié un ensemble de règles Sigma. Ce contenu SOC est disponible en téléchargement gratuit directement sur Threat Detection Marketplace via ce lien : https://tdm.socprime.com/detections/?tagsCustom[]=ServU
IOC d’Acteurs de Menaces ciblant le logiciel Serv-U de SolarWinds avec un exploit 0-day (CVE-2021-35211)
Cette règle, écrite par l’équipe de SOC Prime, détecte les IP utilisées dans l’exploitation des services SolarWinds Serv-U et dispose de traductions vers les formats de langue suivants :
SIEM & ANALYSE DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Tactiques : Accès Initial
Techniques : Exploiter une Application Exposée sur Internet (T1190)
IOC de Commande Line d’Acteurs de Menaces ciblant le logiciel Serv-U de SolarWinds avec un exploit 0-day (CVE-2021-35211)
Cette règle, également développée par l’équipe de SOC Prime, détecte les lignes de commande utilisées dans l’exploitation de la faille. Elle dispose de traductions vers les formats de langue suivants :
SIEM & ANALYSE DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR : Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tactiques : Accès Initial
Techniques : Exploiter une Application Exposée sur Internet (T1190)
Exploitation de Serv-U CVE-2021-35211 par Dev-0322
Cette détection basée sur le comportement Sigma du dépôt GitHub détenu par Florian Roth détecte des modèles comme observés dans l’exploitation de la vulnérabilité Serv-U CVE-2021-35211 par le groupe de menaces DEV-0322. Les traductions sont disponibles pour les formats de langue suivants.
SIEM & ANALYSE DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR : Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tactiques : Persistance
Techniques : Créer un Compte (T1136)
Modèle de Processus Suspect de Serv-U
Cette règle, également fournie par Florian Roth, détecte un modèle de processus suspect pouvant être le signe d’un service Serv-U exploité. Elle dispose de traductions vers les formats de langue suivants :
SIEM & ANALYSE DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR : Carbon Black, SentinelOne
Inscrivez-vous au Threat Detection Marketplace pour accéder à plus de 100K règles de détection qualifiées, multiplateformes et multi-outils, adaptées à 20+ technologies SIEM, EDR, NTDR, et XDR leaders du marché. Enthousiaste à l’idée de participer aux activités de chasse aux menaces et d’enrichir notre bibliothèque avec de nouvelles règles Sigma et de contribuer à la communauté cybernétique mondiale ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
