Microsoft's Threat Intelligence Center (MSTIC) ha riferito martedì che il software SolarWinds è stato attaccato con un exploit zero-day da un gruppo di hacker chiamato “DEV-0322”. Gli hacker erano concentrati sul software FTP Serv-U di SolarWinds, con il presunto obiettivo di accedere ai clienti dell'azienda nel settore della difesa statunitense.
L'attacco zero-day è stato individuato per la prima volta in un scansione di routine di Microsoft 365 Defender. Il software ha notato un “processo dannoso anomalo” che Microsoft spiega in modo più dettagliato nel suo blog, ma sembra che gli hacker stessero tentando di diventare amministratori di Serv-U, tra le altre attività sospette.
Aggiorna Serv-U non appena possibile
SolarWinds ha segnalato l'exploit zero-day venerdì 9 luglio, spiegando che tutte le versioni di Serv-U dal 5 maggio in poi contenevano la vulnerabilità. La società ha rilasciato un hotfix per risolvere il problema e da allora l'exploit è stato corretto, ma Microsoft scrive che se il protocollo Secure Shell (SSH) di Serv-U si connettesse a Internet, gli hacker potrebbero “eseguire in remoto codice arbitrario con privilegi, consentendo loro di eseguire azioni come installare ed eseguire payload dannosi o visualizzare e modificare i dati”. Chiunque utilizzi un software Serv-U precedente è incoraggiato ad aggiornarlo il prima possibile.
Il primo hack che ha portato SolarWinds alla ribalta nel dicembre 2020 ha messo in luce centinaia di agenzie governative e aziende. A differenza del precedente hack, che ora è ampiamente collegato a un gruppo di hacker affiliato allo stato russo chiamato Cozy Bear, Microsoft afferma che questo attacco zero-day ha avuto origine in Cina. DEV-0322 ha preso l'abitudine di attaccare “entità nel settore della base industriale della difesa degli Stati Uniti”, scrive Microsoft, ed è noto per “utilizzare soluzioni VPN commerciali e router consumer compromessi nella loro infrastruttura di attacco”.