Microsoft's Threat Intelligence Center (MSTIC) meldde dinsdag dat SolarWinds-software is aangevallen met een zero-day exploit door een groep hackers die het “DEV-0322” noemt. De hackers waren gericht op de Serv-U FTP-software van SolarWinds, met als vermoedelijk doel toegang te krijgen tot de klanten van het bedrijf in de Amerikaanse defensie-industrie.
De zero-day-aanval werd voor het eerst opgemerkt in een routinematige Microsoft 365 Defender-scan. De software merkte een “abnormaal kwaadaardig proces” op dat Microsoft in meer detail uitlegt in zijn blog, maar het lijkt erop dat de hackers probeerden zichzelf Serv-U-beheerders te maken, naast andere verdachte activiteiten.
Update Serv-U zodra mogelijk
SolarWinds rapporteerde de zero-day exploit op vrijdag 9 juli en legde uit dat alle Serv-U-releases van 5 mei en eerder de kwetsbaarheid bevatten. Het bedrijf heeft een hotfix uitgebracht om het probleem aan te pakken en de exploit is sindsdien gepatcht, maar Microsoft schrijft dat als het Secure Shell (SSH) -protocol van Serv-U op internet zou worden aangesloten, de hackers “op afstand willekeurige code met privileges zouden kunnen uitvoeren, waardoor ze acties uitvoeren zoals het installeren en uitvoeren van kwaadaardige payloads, of het bekijken en wijzigen van gegevens.” Iedereen die oudere Serv-U-software gebruikt, wordt aangemoedigd om deze zo snel mogelijk bij te werken.
De eerste hack die SolarWinds in december 2020 in de schijnwerpers zette, heeft honderden overheidsinstanties en bedrijven blootgelegd. In tegenstelling tot de vorige hack, die nu op grote schaal verbonden is met een aan de Russische staat gelieerde groep hackers genaamd Cozy Bear, zegt Microsoft dat deze zero-day-aanval in China is ontstaan. DEV-0322 heeft er een gewoonte van gemaakt om “entiteiten in de Amerikaanse defensie-industriële basissector” aan te vallen, schrijft Microsoft, en staat bekend om “het gebruik van commerciële VPN-oplossingen en gecompromitteerde consumentenrouters in hun aanvallersinfrastructuur.”