Detecção do Zero-Day SolarWinds Serv-U (CVE-2021-35211)
Índice:
Uma falha crítica de dia zero (CVE-2021-35211), existente no SolarWinds Serv-U Managed File Transfer Server e nos produtos Serv-U Secured FTP, tem sido repetidamente explorada na natureza por um coletivo de hackers apoiado pela China, revela a Microsoft. A falha fornece aos agentes de ameaça a capacidade de executar código arbitrário remotamente e alcançar a comprometimento total do sistema.
Descrição do CVE-2021-35211
De acordo com o comunicado da SolarWinds, o CVE-2021-35211 é um problema de execução remota de código que afeta o Serv-U versão 15.2.3 HF1 e anteriores. Com a exploração bem-sucedida, os hackers podem executar código arbitrário com altas permissões para instalar software malicioso, modificar ou roubar dados sensíveis e acessar informações confidenciais.
Notavelmente, a exploração é limitada e só é possível com o SSH ativado no ambiente Serv-U. Além disso, a SolarWinds afirma que este problema de dia zero impacta apenas o Serv-U Managed File Transfer e o Serv-U Secure FTP. Todos os outros produtos da SolarWinds ou N-able são considerados seguros. Nenhum vínculo com o ataque à cadeia de suprimentos SUNBURST foi observado.
A Microsoft relatou o problema à SolarWinds em meados de julho de 2021, após seu Centro de Inteligência de Ameaças (MSTIC) e equipes de Pesquisa de Segurança Ofensiva descobrirem uma série de ataques altamente direcionados explorando a falha na natureza. O exploit de prova de conceito também foi transferido para o fornecedor, mas atualmente nenhum PoC está disponível na web.
De acordo com a detalhada investigação da Microsoft, o bug foi explorado por um grupo afiliado à China atualmente rastreado como DEV-0322 pelo MSTIC. Este ator está ligado a várias operações contra o Setor Base Industrial de Defesa dos EUA e várias empresas de software. A atividade deste coletivo de hackers é incrivelmente secreta. Os únicos detalhes compartilhados publicamente por pesquisadores revelam que o DEV-0322 depende de VPNs comerciais e roteadores domésticos vulneráveis para manter sua infraestrutura.
Detecção e Mitigação de Dia Zero do SolarWinds Serv-U
Imediatamente após o bug ser relatado ao fornecedor, a SolarWinds lançou um hotfix para o Serv-U versão 15.2.3 HF1. Agora, a vulnerabilidade está totalmente corrigida com o lançamento da versão 15.2.3 HF2. Os usuários são instados a atualizar para a versão segura mais recente o mais rápido possível, mesmo que tenham o SSH desativado no ambiente Serv-U.
Para detectar atividades maliciosas associadas ao CVE-2021-35211 e ajudar organizações a se defenderem proativamente contra possíveis ataques, a equipe SOC Prime junto com Florian Roth lançaram um conjunto de regras Sigma. Este conteúdo SOC está disponível para download gratuito diretamente na Threat Detection Marketplace através deste link: https://tdm.socprime.com/detections/?tagsCustom[]=ServU
IOCs de Atores de Ameaça que Alvejam o Software SolarWinds Serv-U com exploit de dia-zero (CVE-2021-35211)
Esta regra, escrita pela equipe SOC Prime, detecta IPs usados na exploração dos serviços SolarWinds Serv-U e tem traduções para os seguintes formatos de linguagem:
SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Táticas: Acesso Inicial
Técnicas: Explorar Aplicação Exposta (T1190)
IOCs de Linha de Comando de Atores de Ameaça Alvejando o Software SolarWinds Serv-U com exploit de dia-zero (CVE-2021-35211)
Esta regra, também desenvolvida pela equipe SOC Prime, detecta Linhas de Comando usadas na exploração da falha. Tem traduções para os seguintes formatos de linguagem:
SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Táticas: Acesso Inicial
Técnicas: Explorar Aplicação Exposta (T1190)
Exploração do Serv-U CVE-2021-35211 por Dev-0322
Esta detecção comportamental baseada em Sigma do repositório GitHub de Florian Roth detecta padrões observados na exploração da vulnerabilidade Serv-U CVE-2021-35211 pelo grupo de ameaça DEV-0322. As traduções estão disponíveis para os seguintes formatos de linguagem.
SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Táticas: Persistência
Técnicas: Criar Conta (T1136)
Padrão de Processo Suspeito do Serv-U
Esta regra, também fornecida por Florian Roth, detecta um padrão de processo suspeito que pode ser um sinal de um serviço Serv-U explorado. Tem traduções para os seguintes formatos de linguagem:
SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Sysmon, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, SentinelOne
Inscreva-se no Threat Detection Marketplace para acessar mais de 100K de regras de detecção qualificadas, multi-vendor e multi-ferramenta adaptadas para mais de 20 tecnologias de SIEM, EDR, NTDR e XDR líderes de mercado. Entusiasta para participar de atividades de caça às ameaças e enriquecer nossa biblioteca com novas regras Sigma e contribuir para a comunidade cibernética mundial? Junte-se ao nosso Programa Threat Bounty por um futuro mais seguro!
