Microsofts Threat Intelligence Center (MSTIC) rapporterade på tisdag att programvaran SolarWinds attackerades med en noll-dagars utnyttjande av en grupp hackare som den kallar “DEV-0322.” Hackarna fokuserade på SolarWinds Serv-U FTP-programvara, med det förmodade målet att få tillgång till företagets kunder i den amerikanska försvarsindustrin.
Nolldagarsattacken upptäcktes först i en rutinmässig skanning av Microsoft 365 Defender. Programvaran märkte en ”avvikande skadlig process” som Microsoft förklarar mer detaljerat i sin blogg, men det verkar som att hackarna försökte göra sig till Serv-U-administratörer, bland andra misstänkta aktiviteter.
Uppdatera Serv-U så snart som möjligt
SolarWinds rapporterade nolldagens exploatering fredagen den 9 juli och förklarade att alla Serv-U-utgåvor från 5 maj och tidigare innehöll sårbarheten. Företaget släppte en snabbkorrigering för att ta itu med problemet och utnyttjandet har sedan korrigerats, men Microsoft skriver att om Serv-U: s Secure Shell (SSH) -protokoll anslutet till internet kan hackarna “fjärrköra godtycklig kod med privilegier, så att de kan utföra åtgärder som att installera och köra skadliga nyttolast, eller visa och ändra data. ” Alla som kör äldre Serv-U-programvara uppmuntras att uppdatera den så snart som möjligt.
Det första hacket som kastade SolarWinds i rampljuset i december 2020 avslöjade hundratals myndigheter och företag. Till skillnad från det tidigare hacket, som nu är allmänt kopplat till en rysk statligt ansluten grupp hackare som heter Cozy Bear, säger Microsoft att denna nolldagarsattack har sitt ursprung i Kina. DEV-0322 har gjort en vana att angripa “enheter inom den amerikanska försvarsindustrins bassektor”, skriver Microsoft och är känd för “att använda kommersiella VPN-lösningar och komprometterade konsumentroutrar i sin angriparinfrastruktur.”