SolarWinds Serv-U 제로데이(CVE-2021-35211) 탐지

SolarWinds Serv-U Managed File Transfer Server와 Serv-U Secured FTP 제품에 존재하는 치명적인 제로데이 버그(CVE-2021-35211)가 중국 기반의 해커 집단에 의해 실제 환경에서 반복적으로 악용되었다고 Microsoft가 밝혔습니다. 이 결함은 위협 행위자들에게 임의의 코드를 원격으로 실행하고 전체 시스템을 손상시킬 수 있는 능력을 제공합니다.

CVE-2021-35211 설명

에 따르면 SolarWinds 권고문, CVE-2021-35211은 Serv-U 버전 15.2.3 HF1 및 이전 버전에 영향을 미치는 원격 코드 실행 문제입니다. 성공적인 악용 시, 해커는 악의적인 소프트웨어를 설치하거나 민감한 데이터를 수정 또는 도용할 수 있으며, 기밀 정보를 접근할 수 있습니다.

특히, 악용은 제한적이며 Serv-U 환경에서 SSH가 활성화된 경우에만 가능합니다. 또한, SolarWinds는 이 제로데이 문제가 Serv-U Managed File Transfer 및 Serv-U Secure FTP에만 영향을 미친다고 밝히고 있습니다. 다른 SolarWinds나 N-able 제품은 안전한 것으로 간주됩니다. 에 대한 SUNBURST 공급망 공격 과의 연관성은 관찰되지 않았습니다.

Microsoft는 2021년 7월 중순, Threat Intelligence Center (MSTIC)와 Offensive Security Research 팀이 실제 환경에서 이 결함을 악용하는 일련의 고도로 표적화된 공격을 발견한 후 이 문제를 SolarWinds에 보고했습니다. 개념 증명(Proof-of-Concept)도 벤더에 전달되었지만, 현재 웹상에는 PoC가 제공되고 있지 않습니다.

자세한 Microsoft의 조사에 따르면, 이 버그는 현재 MSTIC에 의해 DEV-0322로 추적되고 있는 중국 관련 그룹에 의해 활용되었습니다. 이 행위자는 미국 방위산업 기반 부문 및 여러 소프트웨어 회사를 대상으로 한 여러 운영에 연관되어 있습니다. 이 해커 집단의 활동은 매우 은밀합니다. 연구원들이 공개한 유일한 세부 사항은 DEV-0322가 상용 VPN 및 취약한 가정용 라우터를 기반으로 인프라를 유지한다고 밝혀졌습니다.

SolarWinds Serv-U 제로데이 탐지 및 완화

문제가 벤더에게 보고된 직후, SolarWinds는 Serv-U 버전 15.2.3 HF1에 대한 핫픽스를 배포했습니다. 이제 취약점은 버전 15.2.3 HF2 릴리즈로 완전히 패치되었습니다. 사용자는 Serv-U 환경에서 SSH를 비활성화한 경우에도 가능한 한 빨리 최신 보안 버전으로 업그레이드할 것을 권장합니다.

CVE-2021-35211과 관련된 악성 활동을 탐지하고, 조직이 가능한 공격에 대해 사전에 방어할 수 있도록 하기 위해, SOC Prime Team은 Florian Roth 와 함께 Sigma 규칙 세트를 발표했습니다. 이 SOC 콘텐츠는 Threat Detection Marketplace에서 이 링크를 통해 무료로 다운로드할 수 있습니다: https://tdm.socprime.com/detections/?tagsCustom[]=ServU 

제로데이 악용(CVE-2021-35211)으로 SolarWinds Serv-U 소프트웨어를 타겟으로 한 위협 행위자 IoC

SOC Prime Team이 작성한 이 규칙은 SolarWinds Serv-U 서비스의 취약점 악용에 사용된 IP를 탐지하며 다음 언어 형식으로 번역되었습니다:

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix

MITRE ATT&CK

전술: 초기 접근

기법: 공개 애플리케이션 악용 (T1190)

제로데이 악용(CVE-2021-35211)으로 SolarWinds Serv-U 소프트웨어를 타겟으로 한 위협 행위자 명령줄 IoC

SOC Prime Team이 개발한 이 규칙은 결함 악용 시 사용된 명령줄을 탐지합니다. 다음 언어 형식으로 번역되었습니다:

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix

EDR: Carbon Black, CrowdStrike, SentinelOne

MITRE ATT&CK

전술: 초기 접근

기법: 공개 애플리케이션 악용 (T1190)

DEV-0322에 의한 Serv-U 악용 CVE-2021-35211

Florian Roth가 소유한 GitHub 저장소의 이 Sigma 행동 기반 탐지는 위협 그룹 DEV-0322에 의한 Serv-U CVE-2021-35211 취약점 악용 시 나타난 패턴을 감지합니다. 번역은 다음 언어 형식으로 제공됩니다.

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix

EDR: Carbon Black, CrowdStrike, SentinelOne

MITRE ATT&CK

전술: 지속성

기법: 계정 생성 (T1136)

의심스러운 Serv-U 프로세스 패턴

Florian Roth가 제공한 이 규칙은 악용된 Serv-U 서비스의 징후일 수 있는 의심스러운 프로세스 패턴을 탐지합니다. 다음 언어 형식으로 번역되었습니다:

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix

EDR: Carbon Black, SentinelOne

20개 이상의 시장 선도적인 SIEM, EDR, NTDR 및 XDR 기술에 맞춘 100K 이상의 검증된 크로스 벤더 및 크로스 툴 탐지 규칙에 접근하려면 Threat Detection Marketplace에 가입하세요. 위협 사냥 활동에 참여하고 새로운 Sigma 규칙으로 우리의 라이브러리를 풍부하게 하여 전 세계 사이버 커뮤니티에 기여하고 싶나요? 안전한 미래를 위한 Threat Bounty Program에 참여하세요!

플랫폼으로 이동 Threat Bounty에 참여