Microsofts Threat Intelligence Center (MSTIC) rapporterte på tirsdag at SolarWinds-programvaren ble angrepet med en null-dagers utnyttelse av en gruppe hackere den kaller “DEV-0322.” Hackerne var fokusert på SolarWinds 'Serv-U FTP-programvare, med det antatte målet om å få tilgang til selskapets kunder i den amerikanske forsvarsindustrien.
Nulldagersangrepet ble først oppdaget i en rutinemessig Microsoft 365 Defender-skanning. Programvaren la merke til en “avvikende ondsinnet prosess” som Microsoft forklarer mer detaljert i bloggen sin, men det ser ut til at hackerne prøvde å gjøre seg til Serv-U-administratorer, blant annet mistenkelig aktivitet.
Oppdater Serv-U så snart mulig
SolarWinds rapporterte om null-dagers utnyttelse fredag 9. juli og forklarte at alle Serv-U-utgivelsene fra 5. mai og tidligere inneholdt sårbarheten. Selskapet ga ut en hurtigreparasjon for å løse problemet, og utnyttelsen har siden blitt lappet, men Microsoft skriver at hvis Serv-Us Secure Shell (SSH) -protokoll koblet til internett, kunne hackerne “eksternt kjøre vilkårlig kode med privilegier, slik at de kunne utføre handlinger som å installere og kjøre ondsinnede nyttelaster, eller se og endre data. ” Alle som kjører eldre Serv-U-programvare, oppfordres til å oppdatere den så snart som mulig.
Det første hacket som kastet SolarWinds inn i rampelyset i desember 2020, avslørte hundrevis av offentlige etater og bedrifter. I motsetning til den forrige hackingen, som nå er vidt knyttet til en russisk statlig tilknyttet gruppe hackere kalt Cozy Bear, sier Microsoft at dette null-dagers angrepet stammer fra Kina. DEV-0322 har gjort det til en vane å angripe “enheter i den amerikanske forsvarsindustrielle basesektoren”, skriver Microsoft, og er kjent for “å bruke kommersielle VPN-løsninger og kompromitterte forbrukerrutere i sin angriperinfrastruktur.”