Rilevamento SolarWinds Serv-U Zero-Day (CVE-2021-35211)
Indice:
Un bug critico di tipo zero-day (CVE-2021-35211), presente nei prodotti SolarWinds Serv-U Managed File Transfer Server e Serv-U Secured FTP, è stato ripetutamente sfruttato in natura da un collettivo di hacker sostenuto dalla Cina, rivela Microsoft. La falla consente agli attori malevoli di eseguire codice arbitrario da remoto e di compromettere completamente il sistema.
Descrizione di CVE-2021-35211
Secondo l’avviso di SolarWinds, CVE-2021-35211 è un problema di esecuzione di codice remoto che colpisce la versione 15.2.3 HF1 di Serv-U e precedenti. In caso di sfruttamento riuscito, gli hacker possono eseguire codice arbitrario con privilegi elevati per installare software dannoso, modificare o rubare dati sensibili e accedere a informazioni riservate.
In particolare, lo sfruttamento è limitato e possibile solo con SSH abilitato nell’ambiente Serv-U. Inoltre, SolarWinds afferma che questo problema zero-day impatta solo Serv-U Managed File Transfer e Serv-U Secure FTP. Tutti gli altri prodotti SolarWinds o N-able sono considerati sicuri. Nessun collegamento con l’attacco alla catena di fornitura SUNBURST è stato osservato.
Microsoft ha segnalato il problema a SolarWinds a metà luglio 2021 dopo che il suo Threat Intelligence Center (MSTIC) e i team di Offensive Security Research hanno scoperto una serie di attacchi altamente mirati che sfruttavano la falla in natura. L’exploit proof-of-concept è stato anche trasferito al fornitore, tuttavia attualmente non sono disponibili PoC sul web.
Secondo il dettagliato rapporto di Microsoft, il bug è stato utilizzato da un gruppo affiliato alla Cina attualmente tracciato come DEV-0322 da MSTIC. Questo attore è stato collegato a diverse operazioni mirate contro il settore dei componenti della difesa negli Stati Uniti e molte aziende software. L’attività di questo collettivo di hacker è incredibilmente segreta. Gli unici dettagli condivisi pubblicamente dai ricercatori rivelano che DEV-0322 si affida a VPN commerciali e router domestici vulnerabili per mantenere la propria infrastruttura.
Rilevamento e Mitigazione dello Zero-Day di SolarWinds Serv-U
Immediatamente dopo che il bug è stato segnalato al fornitore, SolarWinds ha rilasciato una correzione rapida per la versione 15.2.3 HF1 di Serv-U. Ora, la vulnerabilità è completamente risolta con il rilascio della versione 15.2.3 HF2. Gli utenti sono invitati ad aggiornare alla versione più recente e sicura il prima possibile, anche nel caso in cui abbiano SSH disabilitato nell’ambiente Serv-U.
Per rilevare l’attività malevola associata a CVE-2021-35211 e aiutare le organizzazioni a difendersi proattivamente da possibili attacchi, il Team SOC Prime insieme a Florian Roth hanno rilasciato un set di regole Sigma. Questo contenuto SOC è disponibile per il download gratuito direttamente dal Threat Detection Marketplace tramite questo link: https://tdm.socprime.com/detections/?tagsCustom[]=ServU
IOCs degli Attori di Minaccia che Prendono di Mira il Software SolarWinds Serv-U con exploit zero-day (CVE-2021-35211)
Questa regola, scritta dal Team SOC Prime, rileva gli IP utilizzati nello sfruttamento dei servizi SolarWinds Serv-U e ha traduzioni nei seguenti formati di lingua:
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Tattiche: Accesso Iniziale
Tecniche: Sfruttare le Applicazioni Esposte (T1190)
Command Line IOCs degli Attori di Minaccia che Prendono di Mira il Software SolarWinds Serv-U con exploit zero-day (CVE-2021-35211)
Questa regola, anch’essa sviluppata dal Team SOC Prime, rileva le linee di comando utilizzate nello sfruttamento della falla. Ha traduzioni nei seguenti formati di lingua:
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tattiche: Accesso Iniziale
Tecniche: Sfruttare le Applicazioni Esposte (T1190)
Sfruttamento di Serv-U CVE-2021-35211 da parte di Dev-0322
Questa rilevazione basata sul comportamento Sigma del repo GitHub posseduto da Florian Roth rileva schemi notati nello sfruttamento della vulnerabilità Serv-U CVE-2021-35211 da parte del gruppo di minaccia DEV-0322. Le traduzioni sono disponibili nei seguenti formati di lingua.
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Tattiche: Persistenza
Tecniche: Creare Account (T1136)
Schema di Processo Sospetto Serv-U
Questa regola, fornita anch’essa da Florian Roth, rileva uno schema di processo sospetto che potrebbe essere un segno di un servizio Serv-U compromesso. Ha traduzioni nei seguenti formati di lingua:
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, SentinelOne
Iscriviti al Threat Detection Marketplace per accedere a oltre 100K regole di rilevamento qualificate, trasversali ai fornitori e agli strumenti, progettate per oltre 20 tecnologie di SIEM, EDR, NTDR e XDR leader di mercato. Entusiasta di partecipare alle attività di threat hunting e arricchire la nostra libreria con nuove regole Sigma e contribuire alla comunità globale della cyber? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
