SolarWinds Serv-U ゼロデイ (CVE-2021-35211) 検出
目次:
SolarWinds Serv-U Managed File Transfer ServerおよびServ-U Secured FTP製品に存在する重大なゼロデイバグ(CVE-2021-35211)が、中国のハッカー集団によって野外で繰り返し悪用されているとMicrosoftが明らかにしました。この欠陥により、脅威アクターは任意のコードをリモートで実行し、システム全体の乗っ取りが可能になります。
CVE-2021-35211の説明
によると、 SolarWindsのアドバイザリによれば、CVE-2021-35211はリモートコード実行の問題で、Serv-Uバージョン15.2.3 HF1およびそれ以前に影響を与えます。成功した悪用により、ハッカーは高い権限で任意のコードを実行して悪意のあるソフトウェアをドロップしたり、機密データを変更または盗んだり、機密情報にアクセスしたりすることが可能です。
特に、悪用は限定的であり、Serv-U環境でSSHが有効になっている場合にのみ可能です。さらに、SolarWindsは、このゼロデイ問題がServ-U Managed File TransferとServ-U Secure FTPのみに影響すると述べています。他のすべてのSolarWindsまたはN-able製品は安全であると考えられています。 SUNBURSTサプライチェーン攻撃 との関連は観察されていません。
Microsoftは、2021年7月中旬にSolarWindsに問題を報告しました。これは、MicrosoftのThreat Intelligence Center(MSTIC)とオフェンシブセキュリティリサーチチームが、野外でこの欠陥を悪用する一連の高度にターゲットを絞った攻撃を発見した後のことです。この証拠がベンダーに渡されましたが、現在ウェブ上で利用可能なPoCは存在しません。
詳細な Microsoftの調査によれば、このバグはMSTICによってDEV-0322として追跡されている中国に関連したグループによって悪用されました。このアクターは、米国防産業基盤セクターやいくつかのソフトウェア企業に対する複数の作戦に関連付けられています。このハッカー集団の活動は非常に隠密です。研究者によって公開された唯一の詳細は、DEV-0322が商用VPNと脆弱な家庭用ルーターを利用してそのインフラを維持していることを示しています。
SolarWinds Serv-Uゼロデイの検出と緩和
このバグがベンダーに報告されるとすぐに、SolarWindsはServ-Uバージョン15.2.3 HF1用のホットフィックスをリリースしました。現在、脆弱性はバージョン15.2.3 HF2で完全に修正されています。SSHがServ-U環境で無効になっている場合でも、ユーザーは最新の安全なバージョンにできるだけ早くアップグレードすることを強くお勧めします。
CVE-2021-35211に関連する悪意のある活動を検出し、組織が潜在的な攻撃に対して積極的に防御するのを支援するために、SOC Prime Teamは Florian Roth とともに一連のSigmaルールをリリースしました。このSOCコンテンツは、以下のリンクからThreat Detection Marketplaceで無料でダウンロードできます。 https://tdm.socprime.com/detections/?tagsCustom[]=ServU
SolarWinds Serv-Uソフトウェアをターゲットにした0-day悪用(CVE-2021-35211)の脅威アクターIOC
SOC Prime Teamによって作成されたこのルールは、SolarWinds Serv-Uサービスの悪用に使用されるIPを検出し、次の言語形式に翻訳されています。
SIEM&セキュリティ解析:Azure Sentinel、Chronicle Security、ArcSight、QRadar、Splunk、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix
MITRE ATT&CK
戦術:初期アクセス
技術:公にさらされたアプリケーションの悪用(T1190)
SolarWinds Serv-Uソフトウェアをターゲットにした0-day悪用(CVE-2021-35211)の脅威アクターコマンドラインIOC
SOC Prime Teamによって作成されたこのルールは、欠陥悪用に使用されるコマンドラインを検出します。次の言語形式に翻訳されています。
SIEM&セキュリティ解析:Azure Sentinel、Chronicle Security、ArcSight、QRadar、Splunk、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix
EDR:Carbon Black、CrowdStrike、SentinelOne
MITRE ATT&CK
戦術:初期アクセス
技術:公にさらされたアプリケーションの悪用(T1190)
Dev-0322によるServ-U悪用CVE-2021-35211
Florian Rothが所有するGitHubリポジトリからのこのSigmaの行動ベースの検出は、DEV-0322によるServ-U CVE-2021-35211の脆弱性の悪用におけるパターンを検出します。翻訳は次の言語形式で利用可能です。
SIEM&セキュリティ解析:Azure Sentinel、Chronicle Security、ArcSight、QRadar、Splunk、Sumo Logic、ELK Stack、LogPoint、Sysmon、Humio、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix
EDR:Carbon Black、CrowdStrike、SentinelOne
MITRE ATT&CK
戦術:持続性
技術:アカウントの作成(T1136)
疑わしいServ-Uプロセスパターン
Florian Rothによって提供されたこのルールは、悪用されたServ-Uサービスの兆候となり得る疑わしいプロセスパターンを検出します。次の言語形式に翻訳されています。
SIEM&セキュリティ解析:Azure Sentinel、Chronicle Security、ArcSight、QRadar、Splunk、Sumo Logic、ELK Stack、LogPoint、Sysmon、Humio、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix
EDR:Carbon Black、SentinelOne
Threat Detection Marketplaceにサインアップして、20以上の市場をリードするSIEM、EDR、NTDR、およびXDR技術に特化した10万以上のクロスベンダー、クロスツールの検出ルールにアクセスしてください。脅威ハンティング活動に参加し、新しいSigmaルールでライブラリを充実させ、世界のサイバーコミュニティに貢献することに熱心ですか?私たちのThreat Bounty Programに参加して、安全な未来を築きましょう!
