Новости News7Days
14.07.2021
08:30

Недавно исправленную проблему в Serv-U атаковала китайская хак-группа DEV-0322

Недавно исправленную проблему в Serv-U атаковала китайская хак-группа DEV-0322

Ранее на этой неделе разработчики SolarWinds исправили RCE-уязвимость (CVE-2021-35211) в Serv-U и предупредили, что проблему уже эксплуатируют хакеры. По информации компании, уязвимость использовалась лишь одним злоумышленником в атаках, нацеленных на ограниченное количество жертв.

Данная уязвимость представляет угрозу только для Serv-U Managed File Transfer и Serv-U Secure FTP. Уязвимыми считаются все версии Serv-U вплоть до обновленной 15.2.3 HF2, выпущенной несколько дней назад и содержащей исправление.

Исходно баг был обнаружен специалистами Microsoft, равно как и таргетированные атаки на неназванных клиентов SolarWinds, и теперь компания поделилась деталями о своей находке.

Специалисты Microsoft рассказали, что уязвимость в Serv-U эксплуатируют китайские хакеры, применяя ее для атак на оборонные и софтверные компании в США. Данную хак-группу компания отслеживает под идентификатором DEV-0322.

Сообщается, что угрозу обнаружили благодаря тому, что  антивирус Defender стал замечать вредоносные процессы, порождаемые основным приложением Serv-U, что в конечном итоге привело к расследованию происходящего и обнаружению атак на уязвимость нулевого дня.

«Активность этой группы исходит из Китая, мы наблюдали как [злоумышленники] использую коммерческие VPN-решения и взломанные потребительские маршрутизаторы в своей инфраструктуре», — пишут эксперты.

В Microsoft говорят, что пользователи Serv-U могут проверить свои устройства на компрометацию, просмотрев файл журнала Serv-U (DebugSocketLog.txt) и выполнив поиск exception-сообщений. В частности, «C0000005; CSUSSHSocket::ProcessReceive»  может указывать на то, что злоумышленники пытались взломать Serv-U, хотя исключение может отображаться и по другим причинам.

Другими признаками компрометации были названы:

  • недавно созданные файлы .txt в папке Client\Common\;
  • Serv-U порождает процессы для mshta.exe, powershell.exe, cmd.exe и процессы, запущенные из C:\Windows\temp;
  • нераспознанные глобальные пользователи в конфигурации Serv-U.

К сожалению, по данным Censys , в настоящее время в сети доступны более 8200 систем SolarWinds Serv-U с открытым SSH-портом, и их количество остается неизменным с прошлой недели, когда были выпущены патчи.

Источник ХАКЕР РУ, https://xakep.ru

Поделиться:
Читайте также